بدافزار استخراج کریپتو جعل هویت دسکتاپ مترجم گوگل و سایر برنامه های قانونی است

شرکت اطلاعاتی تهدیدات سایبری مستقر در اسرائیل، Check Point Research (CPR) نقاب یک کمپین بدافزار مخرب استخراج کریپتو به نام Nitrokod را به عنوان عامل آلوده شدن هزاران دستگاه در 11 کشور در این کشور آشکار کرد. گزارشی که روز یکشنبه منتشر شد.

بدافزار Crypto Miner که با نام cryptojackers نیز شناخته می‌شود، نوعی بدافزار است که از قدرت محاسباتی رایانه‌های شخصی آلوده برای استخراج ارزهای دیجیتال استفاده می‌کند.

Nitrokod با جعل هویت Google Translate Desktop و سایر نرم افزارهای رایگان در وب سایت ها، بدافزارهای ماینر کریپتو را راه اندازی کرده و رایانه های شخصی را آلوده می کند. هنگامی که کاربران ناآگاه عبارت «دانلود دسک‌تاپ ترجمه Google» را جستجو می‌کنند، پیوند مخرب نرم‌افزار آلوده به بدافزار در بالای نتایج جستجوی Google ظاهر می‌شود.

از سال 2019، این بدافزار با فرآیند آلودگی چند مرحله‌ای کار می‌کند و با به تأخیر انداختن فرآیند آلودگی تا چند هفته پس از دانلود لینک مخرب توسط کاربران شروع می‌شود. آنها همچنین آثار نصب اصلی را حذف می‌کنند و بدافزار را از شناسایی توسط برنامه‌های ضد ویروس دور نگه می‌دارند.

در گزارش CPR آمده است: «هنگامی که کاربر نرم‌افزار جدید را راه‌اندازی می‌کند، یک برنامه Google Translate واقعی نصب می‌شود. اینجاست که قربانیان با برنامه‌هایی با ظاهری واقع‌گرایانه با چارچوبی مبتنی بر کرومیوم مواجه می‌شوند که کاربر را از صفحه وب Google Translate هدایت می‌کند و او را فریب می‌دهد تا برنامه جعلی را دانلود کند.

در مرحله بعدی، بدافزار وظایفی را برای پاک کردن گزارش‌ها برنامه‌ریزی می‌کند تا فایل‌ها و شواهد مرتبط را حذف کند و مرحله بعدی زنجیره آلودگی پس از 15 روز ادامه می‌یابد رویکرد چند مرحله‌ای به بدافزار کمک می‌کند از شناسایی شدن بدافزار در جعبه ایمنی که توسط محققان امنیتی راه‌اندازی شده است، جلوگیری کند.

علاوه بر این، یک فایل به‌روزرسانی حذف می‌شود که یک سری از چهار قطره‌کن را شروع می‌کند تا اینکه واقعی گزارش CPR اضافه کرد که بدافزار حذف شده است.

به عبارت دیگر، بدافزار یک عملیات استخراج رمزنگاری مونرو (XMR) را آغاز می‌کند که به موجب آن بدافزار «powermanager.exe» با اتصال به سرور Command and Control خود که به مجرمان سایبری امکان کسب درآمد از کاربران برنامه دسک‌تاپ Google Translate را می‌دهد، مخفیانه در دستگاه‌های آلوده رها می‌شود. .

Monero شناخته شده ترین ارز رمزنگاری شده برای کریپتوجکرها و سایر معاملات غیرقانونی است. این ارز رمزنگاری شده تقریباً ناشناس بودن را برای دارندگان خود ارائه می دهد.

قربانی شدن بدافزارهای ماینر کریپتو آسان است زیرا از نرم افزارهایی که در بالای نتایج جستجوی گوگل برای برنامه های کاربردی قانونی یافت می شوند حذف می شوند. اگر مشکوک هستید رایانه شخصی شما آلوده شده است، جزئیات مربوط به نحوه بازیابی دستگاه آلوده را می توانید انجام دهید در انتهای گزارش CPR یافت می شود.