- Nitrokod staat momenteel bovenaan de Google-zoekresultaten voor populaire apps, waaronder Translate
- De malware ontgint op kwaadaardige wijze monero met behulp van computerbronnen van gebruikers, in navolging van de ooit zo productieve CoinHive
Een verraderlijke malwarecampagne gericht op gebruikers die naar Google-applicaties zoeken, heeft wereldwijd duizenden computers geïnfecteerd om op privacy gerichte crypto monero (XMR) te delven.
Je hebt waarschijnlijk nog nooit van Nitrokod gehoord. Het in Israël gevestigde cyberinlichtingenbedrijf Check Point Research (CPR) stuitte vorige maand op de malware.
In een verslag op zondag, zei het bedrijf dat Nitrokod zichzelf in eerste instantie maskeert als gratis software, nadat het opmerkelijk succes had gevonden bovenaan de Google-zoekresultaten voor 'Google Translate-desktopdownload'.
Ook bekend als cryptojacking, wordt mining-malware gebruikt om nietsvermoedende gebruikersmachines te infiltreren sinds ten minste 2017, toen ze bekendheid kregen naast de populariteit van crypto.
CPR ontdekte eerder in november van dat jaar de bekende cryptojacking-malware CoinHive, die ook XMR mineerde. Er werd gezegd dat CoinHive aan het stelen was 65% van de totale CPU-bronnen van een eindgebruiker zonder hun medeweten. academici berekend de malware genereerde op zijn hoogtepunt $ 250,000 per maand, waarvan het grootste deel naar minder dan een dozijn individuen ging.
Wat Nitrokod betreft, gelooft CPR dat het ergens in 2019 door een Turkssprekende entiteit is ingezet. Het werkt in zeven fasen terwijl het zijn pad volgt om detectie door typische antivirusprogramma's en systeemverdediging te voorkomen.
"De malware kan gemakkelijk worden verwijderd uit software die wordt gevonden in de Google-zoekresultaten voor legitieme applicaties", schreef het bedrijf in zijn rapport.
Softpedia en Uptodown bleken twee belangrijke bronnen van nep-applicaties te zijn. Blockworks heeft contact opgenomen met Google om meer te weten te komen over hoe het dit soort bedreigingen filtert.
Na het downloaden van de applicatie voert een installatieprogramma een vertraagde dropper uit en werkt zichzelf continu bij bij elke herstart. Op de vijfde dag extraheert de vertraagde druppelaar een versleuteld bestand.
Het bestand start vervolgens de laatste fasen van Nitrokod, waarin taken worden gepland, logboeken worden gewist en uitzonderingen worden toegevoegd aan antivirus-firewalls zodra 15 dagen zijn verstreken.
Ten slotte wordt cryptomining-malware "powermanager.exe" heimelijk op de geïnfecteerde machine gedropt en begint het met het genereren van crypto met behulp van de open source Monero-gebaseerde CPU-mijnwerker XMRig (dezelfde die door CoinHive wordt gebruikt).
"Na de eerste software-installatie hebben de aanvallers het infectieproces wekenlang uitgesteld en sporen van de oorspronkelijke installatie verwijderd", schreef het bedrijf in zijn rapport. "Hierdoor kon de campagne jarenlang succesvol onder de radar opereren."
Details over het opschonen van met Nitrokod geïnfecteerde machines zijn te vinden op de einde van het dreigingsrapport van CPR.
Ontvang elke avond het beste cryptonieuws en inzichten van de dag in je inbox. Abonneer u op de gratis nieuwsbrief van Blockworks .
Bron: https://blockworks.co/monero-mining-malware-finds-success-at-top-of-google-search/