Un malware per il mining di criptovalute con sede in Turchia (minatore crittografico) è stata rilevata la campagna. Chiamato Nitrokod e scoperto dal team di Check Point Research, la campagna ha infettato macchine attraverso 11 paesi con un crypto miner XMRig.
Campagna Nitrokod Cryptominer: alcuni dettagli
Gli operatori di malware sfruttano i programmi software più diffusi disponibili per il download su siti di software gratuiti, come Softpedia. Per evitare il rilevamento, gli attori delle minacce separano qualsiasi attività dannosa dal software falso scaricato. Il software appare anche abbastanza facilmente nei risultati di ricerca di Google quando cerchi "download di Google Translate Desktop".
Non sorprende, le applicazioni sono pubblicizzate come “100 clean” tramite vari banner mentre in realtà sono trojanizzate. I download contengono anche un meccanismo ritardato che ha scatenato una lunga infezione a più stadi che si è conclusa con un malware crypto miner.
“Dopo l'installazione iniziale del software, gli aggressori hanno ritardato il processo di infezione per settimane e cancellato tracce dall'installazione originale. Ciò ha permesso alla campagna di operare con successo sotto il radar per anni,", hanno affermato i ricercatori nel rapporto.
Questi sono i passaggi seguiti dall'attaccante Nitrokod per evitare il rilevamento:
- Esecuzione del malware quasi un mese dopo l'installazione del programma Nitrokod.
- Consegnare il carico utile dopo 6 fasi iniziali dei programmi infetti.
- Una catena di infezione continua avviata dopo un lungo ritardo utilizzando un meccanismo di attività pianificata, dando agli aggressori il tempo di cancellare le prove.
Quasi tutte le campagne Nitrokod rilevate condividono la stessa catena di infezione, a partire dall'installazione di un file scaricato gratuitamente, app trojanizzata e termina con l'installazione del minatore.
“Una volta che l'utente avvia il nuovo software, è installata una vera applicazione Google Translate. In aggiunta, viene rilasciato un file aggiornato che avvia una serie di quattro contagocce fino a quando il malware effettivo non viene eliminato," Check Point aggiunto. Una volta eseguito, il malware si connette al suo server di comando e controllo per ricevere una configurazione per il crypto miner XMRig e avviare il processo di mining.
Malware crittografico opera raccogliendo le risorse delle macchine infette, degradando notevolmente le loro prestazioni. Se il tuo computer è stato infettato da un cryptominer, soffrirai anche di un consumo energetico estremo. Nota che i minatori di criptovalute sono solitamente invisibili e coltivano queste risorse in modo silenzioso. Possono essere interessati vari dispositivi, come i computer, smartphone e altri dispositivi elettronici connessi a Internet, come i dispositivi IoT.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: