En tyrkisk-baseret cryptocurrency-mining-malware (kryptominer) kampagne er blevet opdaget. Kaldet Nitrokod og opdaget af Check Point Research-teamet, kampagnen har inficeret maskiner på tværs 11 lande med en XMRig kryptominer.
Nitrokod Cryptominer-kampagne: Nogle Detaljer
Malwareoperatørerne udnytter populære softwareprogrammer, der kan downloades på gratis softwarewebsteder, såsom Softpedia. For at undgå at blive opdaget, trusselsaktørerne adskiller enhver ondsindet aktivitet fra den downloadede falske software. Softwaren vises også ganske let i Googles søgeresultater, når du søger efter "Google Translate Desktop download."
Ikke overraskende, applikationerne annonceres som "100 rene" via forskellige bannere, mens de i virkeligheden er trojaniserede. Downloads indeholder også en forsinket mekanisme, der udløste en lang infektion i flere stadier, der ender med en crypto miner malware.
"Efter den første softwareinstallation, angriberne forsinkede infektionsprocessen i uger og slettede spor fra den originale installation. Dette gjorde det muligt for kampagnen at fungere under radaren i årevis,” sagde forskerne i rapporten.
Dette er de trin, Nitrokod-angriberen fulgte for at undgå opdagelse:
- Eksekvering af malware næsten en måned efter, at Nitrokod-programmet blev installeret.
- Levering af nyttelasten efter 6 tidligere stadier af inficerede programmer.
- En kontinuerlig infektionskæde initieret efter en lang forsinkelse ved hjælp af en planlagt opgavemekanisme, giver angriberne tid til at rydde beviserne.
Næsten alle opdagede Nitrokod-kampagner deler den samme infektionskæde, starter med installationen af en frit downloadet, trojaniseret app og slutter med minearbejderens installation.
"Når brugeren lancerer den nye software, en egentlig Google Oversæt-applikation er installeret. Desuden, en opdateret fil droppes, som starter en serie på fire droppere, indtil den faktiske malware er droppet," Check Point tilføjet. Når henrettet, malwaren opretter forbindelse til dens kommando-og-kontrol-server for at modtage en konfiguration til XMRig crypto miner og starte mineprocessen.
Cryptomining malware opererer ved at høste ressourcerne fra inficerede maskiner, forringer deres præstation markant. Hvis din computer er inficeret med en kryptominer, du vil også lide ekstremt strømforbrug. Bemærk, at kryptominearbejdere normalt er stealth og dyrker disse ressourcer på en tavs måde. Forskellige enheder kan blive påvirket, såsom computere, smartphones og andre elektroniske enheder forbundet til internettet, såsom IoT-enheder.