O nouă investigație de la Check Point Research a descoperit că, din 2019, anumite programe malware de crypto-mining au invadat în mod ascuns sute de mii de computere din întreaga lume, pretinzând adesea a fi programe legitime precum Google Translate.
Creat de o entitate turcă, programul malware invadează computerele prin versiuni desktop contrafăcute ale aplicațiilor populare precum YouTube Music, Google Translate și Microsoft Translate. De asemenea, software-ul poate fi găsit cu ușurință prin Google atunci când utilizatorii caută „Google Translate desktop download”.
Nitrokod – compania din spatele malware-ului
Activ din 2019, Nitrokod este un dezvoltator de software care pretinde că oferă software gratuit și sigur.
Cele mai multe dintre programele oferite de Nitrokod sunt software populare care nu au o versiune oficială pentru desktop. De exemplu, cel mai popular program Nitrokod este aplicația desktop Google Translate. Google nu a lansat o versiune oficială pentru desktop, ceea ce face ca versiunea atacatorilor să fie foarte atrăgătoare.
„Majoritatea programelor lor dezvoltate sunt ușor de construit din paginile web oficiale folosind un cadru bazat pe Chromium. De exemplu, aplicația desktop Google Translate este convertită din pagina web Google Translate folosind proiectul CEF [Chromium Embedded Framework]. Acest lucru oferă atacatorilor posibilitatea de a răspândi programe funcționale fără a fi nevoiți să le dezvolte”, a declarat Check Point Research
Pentru a evita detectarea, autorii Nitrokod separă activitatea rău intenționată de programul Nitrokod descărcat inițial:
- Malware-ul este executat pentru prima dată la aproape o lună de la instalarea programului Nitrokod.
- Malware-ul este instalat după 6 etape incipiente ale programului infectat.
- Lanțul atacat continuă să folosească mecanismul de sarcini programate după o întârziere lungă, dând atacatorului timp să curețe dovezile.
Odată ce mecanismul de activitate programată declanșează procesul de instalare a malware-ului, acesta efectuează în mod constant câțiva pași pe parcursul mai multor zile, terminându-se cu o operațiune de crypto-mining Monero (XMR).
Nitrokod a avut succes folosind site-uri de descărcare precum Softpedia pentru a-și răspândi malware-ul.
Unele dintre programe au fost descărcate de sute de mii de ori, cum ar fi versiunea pentru desktop falsă a Google Translate, care a avut chiar aproape o mie de recenzii, având o medie de 9,3 din 10, în ciuda faptului că Google nu are o versiune desktop oficială.
Până acum, peste o sută de mii de oameni din Israel, Germania, Regatul Unit, Statele Unite, Sri Lanka, Cipru, Australia, Grecia, Turcia, Mongolia și Polonia au căzut pradă malware-ului.
Cum să eliminați manual malware-ul?
Check Point Research a identificat câțiva pași pentru a curăța o mașină infectată:
1. Eliminați următoarele fișiere de pe system32:
- Orice fișier care începe cu chainlink
- nniawsoykfo.exe
- powermanager.exe
2. Eliminați „updater-ul”
- Eliminați folderul C:\ProgramData\Nitrokod
3. Eliminați sarcinile de programare rău intenționate
- InstallService\1
- InstallService\2
- InstallService\3
- InstallService\4
