O aplicație desktop Google Translate ascunde programe malware de minare cripto

Peste 100.000 de utilizatori au fost afectați de malware-ul deghizat în Google Translate și alte aplicații legitime

Dorin Buliga
Dorin Buliga
Distribuie

O nouă investigație de la Check Point Research a descoperit că, din 2019, anumite programe malware de crypto-mining au invadat în mod ascuns sute de mii de computere din întreaga lume, pretinzând adesea a fi programe legitime precum Google Translate.

Creat de o entitate turcă, programul malware invadează computerele prin versiuni desktop contrafăcute ale aplicațiilor populare precum YouTube Music, Google Translate și Microsoft Translate. De asemenea, software-ul poate fi găsit cu ușurință prin Google atunci când utilizatorii caută „Google Translate desktop download”.

Cele mai bune rezultate pentru „Google Translate download Desktop” | Check Point Research

Nitrokod - compania din spatele malware-ului

Activ din 2019, Nitrokod este un dezvoltator de software care pretinde că oferă software gratuit și sigur.

Cele mai multe dintre programele oferite de Nitrokod sunt software populare care nu au o versiune oficială pentru desktop. De exemplu, cel mai popular program Nitrokod este aplicația desktop Google Translate. Google nu a lansat o versiune oficială pentru desktop, ceea ce face ca versiunea atacatorilor să fie foarte atrăgătoare.

Aplicațiile oferite de Nitrokod

„Majoritatea programelor lor dezvoltate sunt ușor de construit din paginile web oficiale folosind un cadru bazat pe Chromium. De exemplu, aplicația desktop Google Translate este convertită din pagina web Google Translate folosind proiectul CEF [Chromium Embedded Framework]. Acest lucru oferă atacatorilor posibilitatea de a răspândi programe funcționale fără a fi nevoiți să le dezvolte”, a declarat Check Point Research 

Pentru a evita detectarea, autorii Nitrokod separă activitatea rău intenționată de programul Nitrokod descărcat inițial:

  • Malware-ul este executat pentru prima dată la aproape o lună de la instalarea programului Nitrokod.
  • Malware-ul este instalat după 6 etape incipiente ale programului infectat.
  • Lanțul atacat continuă să folosească mecanismul de sarcini programate după o întârziere lungă, dând atacatorului timp să curețe dovezile.

Odată ce mecanismul de activitate programată declanșează procesul de instalare a malware-ului, acesta efectuează în mod constant câțiva pași pe parcursul mai multor zile, terminându-se cu o operațiune de crypto-mining Monero (XMR).

Nitrokod a avut succes folosind site-uri de descărcare precum Softpedia pentru a-și răspândi malware-ul. 

Malware-ul are peste 100.000 de descărcări pe popularele site-uri de descărcare

Unele dintre programe au fost descărcate de sute de mii de ori, cum ar fi versiunea pentru desktop falsă a Google Translate, care a avut chiar aproape o mie de recenzii, având o medie de 9,3 din 10, în ciuda faptului că Google nu are o versiune desktop oficială.

Până acum, peste o sută de mii de oameni din Israel, Germania, Regatul Unit, Statele Unite, Sri Lanka, Cipru, Australia, Grecia, Turcia, Mongolia și Polonia au căzut pradă malware-ului.

Cum să eliminați manual malware-ul?

Check Point Research a identificat câțiva pași pentru a curăța o mașină infectată:

1. Eliminați următoarele fișiere de pe system32:

  • Orice fișier care începe cu chainlink
  • nniawsoykfo.exe
  • powermanager.exe

2. Eliminați „updater-ul”

  • Eliminați folderul C:ProgramDataNitrokod

3. Eliminați sarcinile de programare rău intenționate

  • InstallService1
  • InstallService2
  • InstallService3
  • InstallService4
Distribuie articol
Ad image