Un malware de minería de criptomonedas basado en Turquía (minero de criptomonedas) la campaña ha sido detectada. Llamado Nitrokod y descubierto por el equipo de Check Point Research, la campaña ha infectado máquinas en todo 11 países con un criptominero XMRig.
Campaña Nitrokod Cryptominer: Algunos detalles
Los operadores de malware aprovechan los programas de software populares disponibles para descargar en sitios de software gratuitos., como Softpedia. Para evitar la detección, los actores de amenazas separan cualquier actividad maliciosa del software falso descargado. El software también aparece con bastante facilidad en los resultados de búsqueda de Google cuando busca "descarga de Google Translate Desktop".
No es sorprendente, las aplicaciones se anuncian como "100 limpias" a través de varios banners cuando en realidad están troyanizadas. Las descargas también contienen un mecanismo retrasado que desencadenó una larga infección de múltiples etapas que terminó con un malware criptográfico..
“Después de la instalación inicial del software, los atacantes retrasaron el proceso de infección durante semanas y eliminaron los rastros de la instalación original. Esto permitió que la campaña operara con éxito bajo el radar durante años.,”, dijeron los investigadores en el informe..
Estos son los pasos que siguió el atacante de Nitrokod para evitar ser detectado:
- Ejecutando el malware casi un mes después de instalar el programa Nitrokod.
- Entrega de la carga útil después 6 etapas anteriores de programas infectados.
- Una cadena de infección continua iniciada después de un largo retraso utilizando un mecanismo de tareas programadas, dando tiempo a los atacantes para limpiar la evidencia.
Casi todas las campañas de Nitrokod detectadas comparten la misma cadena de infección, comenzando con la instalación de una descarga gratuita, aplicación troyana y terminando con la instalación del minero.
“Una vez que el usuario inicia el nuevo software, una aplicación real de Google Translate está instalada. Adicionalmente, se elimina un archivo actualizado que inicia una serie de cuatro cuentagotas hasta que se elimina el malware real," Punto de control agregado. Una vez ejecutada, el malware se conecta a su servidor de comando y control para recibir una configuración para el criptominero XMRig e iniciar el proceso de minería.
Malware de criptominería opera recolectando los recursos de las máquinas infectadas, degradando significativamente su rendimiento. Si su computadora está infectada con un criptominero, también sufrirás un consumo de energía extremo. Tenga en cuenta que los criptomineros suelen ser sigilosos y cultivan estos recursos de manera silenciosa. Varios dispositivos pueden verse afectados, como computadoras, teléfonos inteligentes y otros dispositivos electrónicos conectados a Internet, como dispositivos IoT.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: