Het in Israël gevestigde inlichtingenbureau Check Point Research (CPR) heeft een kwaadaardige cryptomining-malwarecampagne ontmaskerd, genaamd Nitrokod als de dader achter de infectie van duizenden machines in 11 landen in een rapport gepubliceerd op zondag.
Crypto-miner-malware, ook bekend als cryptojackers, is een type malware dat de rekenkracht van geïnfecteerde pc's misbruikt om cryptocurrency te minen.
Nitrokod imiteert Google Translate Desktop en andere gratis software op websites om cryptominer-malware te lanceren en pc's te infecteren. Wanneer nietsvermoedende gebruikers zoeken naar "Google Translate Desktop download", verschijnt de kwaadaardige link naar de met malware geïnfecteerde software bovenaan de zoekresultaten van Google.
Sinds 2019 werkt de malware met een infectieproces dat uit meerdere fasen bestaat, om te beginnen de besmetting van het infectieproces uit te stellen tot enkele weken nadat de gebruikers de schadelijke link hebben gedownload. Ze verwijderen ook sporen van de oorspronkelijke installatie, zodat de malware niet wordt gedetecteerd door antivirusprogramma's.
"Zodra de gebruiker de nieuwe software start, wordt een daadwerkelijke Google Translate-toepassing geïnstalleerd", staat in het reanimatierapport. Dit is waar slachtoffers realistisch ogende programma's tegenkomen met een op Chromium gebaseerd raamwerk dat de gebruiker vanaf de Google Translate-webpagina leidt en hen verleidt om de nep-applicatie te downloaden.
In de volgende fase plant de malware taken om logs te wissen om gerelateerde bestanden en bewijsmateriaal te verwijderen en de volgende fase van de infectieketen zal na 15 dagen worden voortgezet. De meertrapsbenadering helpt de malware te voorkomen dat deze wordt gedetecteerd in een sandbox die is opgezet door beveiligingsonderzoekers.
“Bovendien wordt er een bijgewerkt bestand gedropt, waarmee een reeks van vier droppers wordt gestart totdat de daadwerkelijk malware is verwijderd”, voegde het CPR-rapport eraan toe.
Met andere woorden, de malware start een Monero (XMR) crypto-mining-operatie waarbij de malware "powermanager.exe" heimelijk op de geïnfecteerde machines wordt gedropt door verbinding te maken met de Command and Control-server waarmee cybercriminelen inkomsten kunnen genereren met gebruikers van de desktop-app van Google Translate. .
Monero is de bekendste cryptocurrency voor cryptojackers en andere illegale transacties. De cryptocurrency biedt bijna anonimiteit voor zijn houders.
Het is gemakkelijk om het slachtoffer te worden van cryptominer-malware omdat ze worden verwijderd uit software die bovenaan de Google-zoekresultaten staat voor gelegitimeerde applicaties. Als u vermoedt dat uw pc is geïnfecteerd, kunnen details over het herstellen van uw geïnfecteerde machine: vindt u aan het einde van het reanimatierapport.
Bron: https://cryptoslate.com/crypto-miner-malware-imipersonates-google-translate-desktop-other-legitimate-apps/