شرکت اطلاعاتی تهدیدات سایبری مستقر در اسرائیل، Check Point Research (CPR) نقاب یک کمپین بدافزار مخرب استخراج کریپتو به نام Nitrokod را به عنوان عامل آلوده شدن هزاران دستگاه در 11 کشور در این کشور آشکار کرد. گزارشی که روز یکشنبه منتشر شد.
بدافزار Crypto Miner که با نام cryptojackers نیز شناخته میشود، نوعی بدافزار است که از قدرت محاسباتی رایانههای شخصی آلوده برای استخراج ارزهای دیجیتال استفاده میکند.
Nitrokod با جعل هویت Google Translate Desktop و سایر نرم افزارهای رایگان در وب سایت ها، بدافزارهای ماینر کریپتو را راه اندازی کرده و رایانه های شخصی را آلوده می کند. هنگامی که کاربران ناآگاه عبارت «دانلود دسکتاپ ترجمه Google» را جستجو میکنند، پیوند مخرب نرمافزار آلوده به بدافزار در بالای نتایج جستجوی Google ظاهر میشود.
از سال 2019، این بدافزار با فرآیند آلودگی چند مرحلهای کار میکند و با به تأخیر انداختن فرآیند آلودگی تا چند هفته پس از دانلود لینک مخرب توسط کاربران شروع میشود. آنها همچنین آثار نصب اصلی را حذف میکنند و بدافزار را از شناسایی توسط برنامههای ضد ویروس دور نگه میدارند.
در گزارش CPR آمده است: «هنگامی که کاربر نرمافزار جدید را راهاندازی میکند، یک برنامه Google Translate واقعی نصب میشود. اینجاست که قربانیان با برنامههایی با ظاهری واقعگرایانه با چارچوبی مبتنی بر کرومیوم مواجه میشوند که کاربر را از صفحه وب Google Translate هدایت میکند و او را فریب میدهد تا برنامه جعلی را دانلود کند.
در مرحله بعدی، بدافزار وظایفی را برای پاک کردن گزارشها برنامهریزی میکند تا فایلها و شواهد مرتبط را حذف کند و مرحله بعدی زنجیره آلودگی پس از 15 روز ادامه مییابد رویکرد چند مرحلهای به بدافزار کمک میکند از شناسایی شدن بدافزار در جعبه ایمنی که توسط محققان امنیتی راهاندازی شده است، جلوگیری کند.
علاوه بر این، یک فایل بهروزرسانی حذف میشود که یک سری از چهار قطرهکن را شروع میکند تا اینکه واقعی گزارش CPR اضافه کرد که بدافزار حذف شده است.
به عبارت دیگر، بدافزار یک عملیات استخراج رمزنگاری مونرو (XMR) را آغاز میکند که به موجب آن بدافزار «powermanager.exe» با اتصال به سرور Command and Control خود که به مجرمان سایبری امکان کسب درآمد از کاربران برنامه دسکتاپ Google Translate را میدهد، مخفیانه در دستگاههای آلوده رها میشود. .
Monero شناخته شده ترین ارز رمزنگاری شده برای کریپتوجکرها و سایر معاملات غیرقانونی است. این ارز رمزنگاری شده تقریباً ناشناس بودن را برای دارندگان خود ارائه می دهد.
قربانی شدن بدافزارهای ماینر کریپتو آسان است زیرا از نرم افزارهایی که در بالای نتایج جستجوی گوگل برای برنامه های کاربردی قانونی یافت می شوند حذف می شوند. اگر مشکوک هستید رایانه شخصی شما آلوده شده است، جزئیات مربوط به نحوه بازیابی دستگاه آلوده را می توانید انجام دهید در انتهای گزارش CPR یافت می شود.
منبع: https://cryptoslate.com/crypto-miner-malware-impersonates-google-translate-desktop-other-legitimate-apps/