- Šiuo metu „Nitrokod“ yra populiarių programų, įskaitant vertimą, „Google“ paieškos rezultatų viršuje
- Kenkėjiška programa piktybiškai išgauna „monero“ naudodama vartotojų kompiuterių išteklius, atkartodama kadaise produktyvią „CoinHive“
Klastinga kenkėjiškų programų kampanija, skirta vartotojams, ieškantiems „Google“ programų, užkrėtė tūkstančius kompiuterių visame pasaulyje, kad būtų galima išgauti į privatumą orientuotą kriptovaliutą (XMR).
Tikriausiai niekada negirdėjote apie Nitrokod. Izraelyje įsikūrusi kibernetinės žvalgybos įmonė „Check Point Research“ (CPR) praėjusį mėnesį aptiko kenkėjišką programą.
A ataskaita sekmadienį, įmonė teigė, kad „Nitrokod“ iš pradžių slepia save kaip nemokama programinė įranga, nes „Google“ vertėjo darbalaukio atsisiuntimo paieškos rezultatų viršuje sulaukė didžiulės sėkmės.
Taip pat žinomas kaip kriptovaliutų panaudojimas, kenkėjiškos programos buvo naudojamos įsiskverbti į nieko neįtariančių vartotojų mašinas mažiausiai nuo 2017 m., kai jos išaugo kartu su kriptovaliutų populiarumu.
Tų metų lapkritį CPR aptiko gerai žinomą šifravimo kenkėjišką programą CoinHive, kuri taip pat išgavo XMR. Teigiama, kad „CoinHive“ vagia 65 % galutinio vartotojo visų CPU išteklių be jų žinios. Akademikai apskaičiuojamas kenkėjiška programa daugiausiai uždirbdavo 250,000 XNUMX USD per mėnesį, o didžioji dalis atiteko mažiau nei tuzinui asmenų.
Kalbant apie „Nitrokod“, CPR mano, kad jį kažkada 2019 m. įdiegė turkiškai kalbantis subjektas. Jis veikia septyniais etapais, kad būtų išvengta aptikimo iš tipiškų antivirusinių programų ir sistemos apsaugos priemonių.
„Kenkėjiška programinė įranga lengvai pašalinama iš programinės įrangos, esančios geriausiuose „Google“ paieškos rezultatuose, ieškodami teisėtų programų“, – rašė įmonė savo ataskaitoje.
Nustatyta, kad „Softpedia“ ir „Uptodown“ yra du pagrindiniai netikrų programų šaltiniai. „Blockworks“ susisiekė su „Google“, kad sužinotų daugiau apie tai, kaip ji filtruoja tokias grėsmes.
Atsisiuntus programą, diegimo programa paleidžia atidėtą lašintuvą ir nuolat atnaujina save kiekvieną kartą paleidus iš naujo. Penktą dieną atidėtas lašintuvas ištraukia užšifruotą failą.
Tada failas inicijuoja paskutinius Nitrokod etapus, kuriuose nustatomos užduočių planavimas, žurnalų išvalymas ir antivirusinių užkardų išimčių įtraukimas, kai praeina 15 dienų.
Galiausiai kriptovaliutų gavybos kenkėjiška programa „powermanager.exe“ yra slapta numesta į užkrėstą mašiną ir pradeda generuoti kriptovaliutą naudojant atvirojo kodo „Monero“ pagrindu veikiančią CPU miner XMRig (tą patį, kurį naudoja CoinHive).
„Po pirminio programinės įrangos įdiegimo užpuolikai atidėjo užkrėtimo procesą savaitėms ir ištrynė pradinio diegimo pėdsakus“, – rašė įmonė savo ataskaitoje. „Tai leido kampanijai daugelį metų sėkmingai veikti pagal radarą.
Išsamią informaciją, kaip išvalyti Nitrokod užkrėstas mašinas, rasite adresu CPR grėsmės ataskaitos pabaiga.
Kiekvieną vakarą gaukite populiariausias kriptovaliutų naujienas ir įžvalgas į jūsų pašto dėžutę. Prenumeruokite nemokamą „Blockworks“ naujienlaiškį dabar.
Šaltinis: https://blockworks.co/monero-mining-malware-finds-success-at-top-of-google-search/