Un malware d'extraction de crypto-monnaie basé en Turquie (crypto mineur) la campagne a été détectée. Appelé Nitrokod et découvert par l'équipe de Check Point Research, la campagne a infecté des machines à travers 11 pays avec un crypto-mineur XMRig.
Campagne Nitrokod Cryptominer: Quelques détails
Les opérateurs de logiciels malveillants exploitent des programmes logiciels populaires disponibles en téléchargement sur des sites de logiciels gratuits, comme Softpedia. Pour éviter la détection, les acteurs de la menace séparent toute activité malveillante du faux logiciel téléchargé. Le logiciel apparaît également assez facilement dans les résultats de recherche Google lorsque vous recherchez "Téléchargement Google Translate Desktop".
Sans surprise, les applications sont annoncées comme "100 propres" via diverses bannières alors qu'en réalité elles sont trojanisées. Les téléchargements contiennent également un mécanisme retardé qui a déclenché une longue infection en plusieurs étapes se terminant par un logiciel malveillant de crypto-mineur..
"Après l'installation initiale du logiciel, les attaquants ont retardé le processus d'infection pendant des semaines et supprimé les traces de l'installation d'origine. Cela a permis à la campagne de fonctionner avec succès sous le radar pendant des années," ont déclaré les chercheurs dans le rapport.
Voici les étapes suivies par l'attaquant de Nitrokod pour éviter d'être détecté:
- Exécution du malware près d'un mois après l'installation du programme Nitrokod.
- Livraison de la charge utile après 6 les premiers stades des programmes infectés.
- Une chaîne d'infection continue initiée après un long délai à l'aide d'un mécanisme de tâche planifiée, donner aux agresseurs le temps d'effacer les preuves.
Presque toutes les campagnes Nitrokod détectées partagent la même chaîne d'infection, en commençant par l'installation d'un téléchargement gratuit, application cheval de Troie et se terminant par l'installation du mineur.
"Une fois que l'utilisateur lance le nouveau logiciel, une application Google Translate réelle est installée. En outre, un fichier mis à jour est supprimé, ce qui démarre une série de quatre compte-gouttes jusqu'à ce que le logiciel malveillant réel soit supprimé," Point de contrôle ajouté. Une fois exécuté, le logiciel malveillant se connecte à son serveur de commande et de contrôle pour recevoir une configuration pour le crypto-mineur XMRig et démarrer le processus de minage.
Logiciels malveillants de cryptominage fonctionne en récoltant les ressources des machines infectées, dégradant considérablement leurs performances. Si votre ordinateur est infecté par un cryptomineur, vous subirez également une consommation d'énergie extrême. Notez que les crypto-mineurs sont généralement furtifs et exploitent ces ressources de manière silencieuse. Divers appareils peuvent être concernés, comme les ordinateurs, smartphones et autres appareils électroniques connectés à Internet, tels que les appareils IoT.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: