Eine in der Türkei ansässige Kryptowährungs-Mining-Malware (Crypto Miner) Kampagne wurde erkannt. Genannt Nitrokod und vom Check Point Research Team entdeckt, Die Kampagne hat Computer infiziert 11 Ländern mit einem XMRig-Krypto-Miner.
Nitrokod Cryptominer-Kampagne: Ein paar Details
Die Malware-Betreiber nutzen beliebte Softwareprogramme, die auf Websites mit kostenloser Software heruntergeladen werden können, wie Softpedia. Um nicht entdeckt zu werden, Die Bedrohungsakteure trennen alle böswilligen Aktivitäten von der heruntergeladenen gefälschten Software. Die Software erscheint auch ganz einfach in den Google-Suchergebnissen, wenn Sie nach „Google Translate Desktop-Download“ suchen.
Nicht überraschend, Die Anwendungen werden über verschiedene Banner als „100 sauber“ beworben, obwohl sie in Wahrheit trojanisiert sind. Die Downloads enthalten auch einen verzögerten Mechanismus, der eine lange mehrstufige Infektion auslöste, die mit einer Crypto-Miner-Malware endete.
„Nach der Erstinstallation der Software, Die Angreifer verzögerten den Infektionsprozess um Wochen und löschten Spuren der ursprünglichen Installation. Dadurch konnte die Kampagne jahrelang erfolgreich unter dem Radar operieren,“, sagten die Forscher in dem Bericht.
Dies sind die Schritte, die der Nitrokod-Angreifer befolgte, um einer Entdeckung zu entgehen:
- Ausführen der Malware fast einen Monat nach der Installation des Nitrokod-Programms.
- Lieferung der Nutzlast nachher 6 frühere Stadien infizierter Programme.
- Eine kontinuierliche Infektionskette, die nach langer Verzögerung mithilfe eines geplanten Task-Mechanismus initiiert wird, den Angreifern Zeit geben, die Beweise zu klären.
Nahezu alle erkannten Nitrokod-Kampagnen haben dieselbe Infektionskette, beginnend mit der Installation eines frei heruntergeladenen, Trojaner-App und endet mit der Installation des Miners.
„Sobald der Benutzer die neue Software startet, eine aktuelle Google Translate-Anwendung ist installiert. Außerdem, Eine aktualisierte Datei wird gelöscht, die eine Reihe von vier Droppern startet, bis die eigentliche Malware gelöscht wird," Kontrollpunkt hinzugefügt. Einmal ausgeführt, Die Malware verbindet sich mit ihrem Command-and-Control-Server, um eine Konfiguration für den XMRig-Krypto-Miner zu erhalten und den Mining-Prozess zu starten.
Kryptomining-Malware arbeitet, indem es die Ressourcen infizierter Maschinen erntet, ihre Leistungsfähigkeit erheblich herabsetzen. Wenn Ihr Computer mit einem Cryptominer infiziert ist, Sie werden auch einen extremen Stromverbrauch erleiden. Beachten Sie, dass Krypto-Miner normalerweise heimlich agieren und diese Ressourcen still bewirtschaften. Verschiedene Geräte können betroffen sein, wie Computer, Smartphones und andere elektronische Geräte, die mit dem Internet verbunden sind, wie IoT-Geräte.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: