Een in Turkije gebaseerde malware voor het minen van cryptovaluta (crypto mijnwerker) campagne is gedetecteerd. Nitrokod genoemd en ontdekt door het Check Point Research-team, de campagne heeft overal geïnfecteerde machines 11 landen met een XMRig cryptominer.
Nitrokod Cryptominer-campagne: sommige Details
De malware-operators maken gebruik van populaire softwareprogramma's die kunnen worden gedownload op gratis softwaresites, zoals Softpedia. Om detectie te vermijden, de dreigingsactoren scheiden elke kwaadaardige activiteit van de gedownloade nepsoftware. De software verschijnt ook vrij gemakkelijk in de zoekresultaten van Google wanneer u zoekt naar 'Google Translate Desktop download'.
Niet verrassend, de applicaties worden geadverteerd als "100 schoon" via verschillende banners, terwijl ze in werkelijkheid trojans zijn. De downloads bevatten ook een vertraagd mechanisme dat een lange infectie in meerdere fasen ontketende die eindigde met een cryptominer-malware.
“Na de eerste software-installatie, de aanvallers hebben het infectieproces wekenlang uitgesteld en sporen van de oorspronkelijke installatie verwijderd. Hierdoor kon de campagne jarenlang succesvol onder de radar opereren,” zeiden de onderzoekers in het rapport.
Dit zijn de stappen die de Nitrokod-aanvaller volgde om detectie te voorkomen:
- De malware uitvoeren bijna een maand nadat het Nitrokod-programma was geïnstalleerd.
- Het leveren van de lading na 6 eerdere stadia van geïnfecteerde programma's.
- Een continue infectieketen die na een lange vertraging wordt gestart met behulp van een gepland taakmechanisme, de aanvallers de tijd geven om het bewijs te wissen.
Bijna alle gedetecteerde Nitrokod-campagnes delen dezelfde infectieketen, beginnend met de installatie van een gratis gedownloade, getrojaanse app en eindigend met de installatie van de mijnwerker.
“Zodra de gebruiker de nieuwe software start, een daadwerkelijke Google Translate-applicatie is geïnstalleerd. Bovendien, er wordt een bijgewerkt bestand verwijderd dat een reeks van vier droppers start totdat de daadwerkelijke malware wordt verwijderd," Controlepunt toegevoegd. Keer uitgevoerd, de malware maakt verbinding met zijn command-and-control-server om een configuratie voor de XMRig-cryptomijnwerker te ontvangen en het mijnbouwproces te starten.
Cryptomining-malware werkt door de bronnen van geïnfecteerde machines te oogsten, hun prestaties aanzienlijk verslechteren. Als uw computer is geïnfecteerd met een cryptominer, u zult ook last hebben van extreem stroomverbruik. Merk op dat crypto-mijnwerkers meestal stealth zijn en deze bronnen op een stille manier bewerken. Verschillende apparaten kunnen worden beïnvloed, zoals computers, smartphones en andere elektronische apparaten verbonden met internet, zoals IoT-apparaten.