Um malware de mineração de criptomoeda baseado na Turquia (cripto mineiro) a campanha foi detectada. Chamado Nitrokod e descoberto pela equipe Check Point Research, a campanha infectou máquinas em todo 11 países com um minerador de criptografia XMRig.
Campanha Nitrokod Cryptominer: Alguns detalhes
Os operadores de malware aproveitam programas de software populares disponíveis para download em sites de software gratuito, como Softpedia. Para evitar a detecção, os agentes de ameaças separam qualquer atividade maliciosa do software falso baixado. O software também aparece com bastante facilidade nos resultados de pesquisa do Google quando você pesquisa "Download do Google Translate Desktop".
não é de surpreender, os aplicativos são anunciados como “100 limpos” através de vários banners, enquanto na verdade eles são trojanizados. Os downloads também contêm um mecanismo atrasado que desencadeou uma longa infecção em vários estágios, terminando com um malware de mineração de criptografia.
“Após a instalação inicial do software, os invasores atrasaram o processo de infecção por semanas e excluíram rastros da instalação original. Isso permitiu que a campanha operasse com sucesso sob o radar por anos,”, disseram os pesquisadores no relatório.
Estas são as etapas que o invasor Nitrokod seguiu para evitar a detecção:
- Executando o malware quase um mês após a instalação do programa Nitrokod.
- Entregar a carga após 6 estágios anteriores de programas infectados.
- Uma cadeia de infecção contínua iniciada após um longo atraso usando um mecanismo de tarefa agendada, dando aos atacantes tempo para limpar as evidências.
Quase todas as campanhas detectadas da Nitrokod compartilham a mesma cadeia de infecção, começando com a instalação de um download gratuito, aplicativo trojanizado e terminando com a instalação do mineiro.
“Uma vez que o usuário lança o novo software, um aplicativo real do Google Tradutor está instalado. além do que, além do mais, um arquivo atualizado é descartado, o que inicia uma série de quatro droppers até que o malware real seja descartado,” Ponto de verificação adicionado. Uma vez executado, o malware se conecta ao seu servidor de comando e controle para receber uma configuração para o minerador de criptografia XMRig e iniciar o processo de mineração.
Malware de criptomineração opera coletando os recursos de máquinas infectadas, degradando significativamente seu desempenho. Se o seu computador estiver infectado com um cryptominer, você também sofrerá um consumo de energia extremo. Observe que os mineradores de criptografia geralmente são furtivos e cultivam esses recursos de maneira silenciosa. Vários dispositivos podem ser afetados, como computadores, smartphones e outros dispositivos eletrônicos conectados à internet, como dispositivos IoT.