تحقیقات جدید نشان داده است که بدافزار استخراج رمزارز از سال 2019 به طور مخفیانه به صدها هزار رایانه در سراسر جهان حمله کرده است و اغلب به عنوان برنامه های قانونی مانند Google Translate ظاهر می شود.
در گزارش دوشنبه توسط Check Point Research (CPR)، یک تیم تحقیقاتی برای ارائه دهنده امنیت سایبری آمریکایی-اسرائیلی، Check Point Software Technologies فاش کرد که بدافزار پرواز تا حدودی به دلیل طراحی موذیانه آن که نصب را به تأخیر می اندازد، سال ها زیر رادار قرار داشت معدنکاری رمز گشایی بدافزار هفته ها پس از دانلود اولیه نرم افزار.
.@_CPResearch_ شناسایی الف #crypto خیش #بد افزار کمپین، که به طور بالقوه هزاران دستگاه را در سراسر جهان آلوده کرد. این حمله که «Nitrokod» نام داشت، ابتدا توسط Check Point XDR پیدا شد. جزئیات را در اینجا دریافت کنید: https://t.co/MeaLP3nh97 #رمزنگاری #اخبار فناوری #سایبرسک pic.twitter.com/ANoeI7FZ1O
- نرم افزار Check Point (@CheckPointSW) اوت 29، 2022
این برنامه بدافزار که به یک توسعهدهنده نرمافزار ترکزبان مرتبط است و ادعا میکند «نرمافزار رایگان و ایمن» ارائه میکند، از طریق نسخههای دسکتاپ تقلبی برنامههای محبوب مانند YouTube Music، Google Translate و Microsoft Translate به رایانههای شخصی حمله میکند.
هنگامی که یک مکانیسم وظیفه برنامه ریزی شده فرآیند نصب بدافزار را آغاز می کند، به طور پیوسته چندین مرحله را طی چند روز طی می کند و با Monero مخفی پایان می یابد.XMR) عملیات استخراج کریپتو در حال راه اندازی است.
این شرکت امنیت سایبری اعلام کرد که ماینر ارز دیجیتال مستقر در ترکیه موسوم به «Nitrokod» ماشینهای ۱۱ کشور را آلوده کرده است.
طبق گزارش CPR، سایتهای دانلود نرمافزار محبوب مانند Softpedia و Uptodown دارای موارد جعلی تحت نام ناشر Nitrokod INC هستند.
برخی از برنامه ها صدها هزار بار دانلود شده بودند، مانند نسخه دسکتاپ جعلی گوگل ترنسلیت در سافت پدیا، که حتی با وجود نداشتن دسکتاپ رسمی گوگل، حتی نزدیک به هزار بازبینی داشت و میانگین امتیاز آن 9.3 از 10 بود. نسخه برای آن برنامه
طبق گفتههای Check Point Software Technologies، ارائه نسخه دسکتاپ برنامهها بخش کلیدی کلاهبرداری است.
اکثر برنامه های ارائه شده توسط Nitrokod نسخه دسکتاپ ندارند، و این باعث می شود که نرم افزار تقلبی برای کاربرانی که فکر می کنند برنامه ای را در جای دیگری در دسترس نیستند، جذاب کند.
به گفته مایا هوروویتز، معاون تحقیقات Check Point Software، جعلیهای آغشته به بدافزار نیز «با یک جستجوی ساده در وب» در دسترس هستند.
"چیزی که برای من جالب تر است این واقعیت است که نرم افزار مخرب بسیار محبوب است، اما برای مدت طولانی تحت رادار قرار گرفته است."
تا زمان نگارش، برنامه تقلید Google Translate Desktop Nitrokod یکی از نتایج اصلی جستجو باقی مانده است.
طراحی به جلوگیری از شناسایی کمک می کند
شناسایی این بدافزار بسیار دشوار است، زیرا حتی زمانی که کاربر نرمافزار ساختگی را راهاندازی میکند، عاقلانهتر باقی نمیماند، زیرا برنامههای جعلی میتوانند همان عملکردهایی را که برنامه قانونی ارائه میدهد تقلید کنند.
اکثر برنامههای هکرها به راحتی از صفحات وب رسمی با استفاده از چارچوب مبتنی بر کرومیوم ساخته میشوند و به آنها اجازه میدهد برنامههای کاربردی بارگذاری شده با بدافزار را بدون توسعه از ابتدا گسترش دهند.
مرتبط: 8 کلاهبرداری یواشکی رمزارز در توییتر در حال حاضر
تاکنون بیش از صد هزار نفر در سراسر اسرائیل، آلمان، بریتانیا، ایالات متحده، سریلانکا، قبرس، استرالیا، یونان، ترکیه، مغولستان و لهستان طعمه این بدافزار شدهاند.
برای جلوگیری از کلاهبرداری توسط این بدافزار و سایر بدافزارها، هوروویتز میگوید چندین نکته امنیتی اساسی میتواند به کاهش خطر کمک کند.
مراقب دامنههای مشابه، اشتباهات املایی در وبسایتها و فرستندههای ایمیل ناآشنا باشید. نرمافزار را فقط از ناشران یا فروشندگان معتبر، شناختهشده دانلود کنید و مطمئن شوید که امنیت نقطه پایانی شما بهروز است و محافظت جامعی را ارائه میکند.»
منبع: https://cointelegraph.com/news/sneaky-fake-google-translate-app-installs-crypto-miner-on-112-000-pcs