Cuidado: alguém está espalhando malware de mineração de criptomoedas disfarçado de aplicativos de aparência legítima, como o Google Tradutor, em sites de download de software gratuito e por meio de pesquisas do Google.
O Trojan de criptomineração, conhecido como Nitrokod, geralmente é disfarçado como um aplicativo Windows limpo e funciona como o usuário espera por dias ou semanas antes que seu código oculto de criação do Monero seja executado.
É disse que o grupo de língua turca por trás do Nitrokod – que está ativo desde 2019 e foi detectado pelos caçadores de ameaças da Check Point Research no final de julho – já pode ter infectado milhares de sistemas em 11 países. O interessante é que os aplicativos fornecem uma versão de desktop para serviços geralmente encontrados apenas online.
“O malware é removido de aplicativos que são populares, mas não têm uma versão de desktop real, como como o Google Tradutor, mantendo as versões de malware sob demanda e exclusivas”, escreveu o analista de malware da Check Point, Moshe Marelus, em um relatório na segunda-feira.
“O malware cai quase um mês após a infecção e, após outros estágios para descartar arquivos, dificultando muito a análise de volta ao estágio inicial.”
Junto com o Google Translate, outros softwares alavancados pelo Nitrokod incluem outros aplicativos de tradução – incluindo o Microsoft Translator Desktop – e programas de download de MP3. Em alguns sites, os aplicativos maliciosos se gabam de serem “100% limpos”, embora na verdade estejam carregados com malware de mineração.
Nitrokod tem sido bem sucedido usando sites de download como Softpedia para espalhar seu código impertinente. De acordo com a Softpedia, o aplicativo Nitrokod Google Translator foi baixado mais de 112.000 vezes desde dezembro de 2019.
De acordo com a Check Point, os programadores do Nitrokod são pacientes, demorando muito e várias etapas para encobrir a presença do malware dentro de um PC infectado antes de instalar um código agressivo de criptomineração. Esses longos esforços de infecção em vários estágios permitiram que a campanha fosse executada sem ser detectada por especialistas em segurança cibernética por anos antes de finalmente ser descoberta.
“A maioria de seus programas desenvolvidos é facilmente construída a partir das páginas da Web oficiais usando uma estrutura baseada em cromo”, escreveu ele. “Por exemplo, o aplicativo de desktop do Google tradutor é convertido da página da web do Google Tradutor usando o CEF projeto. Isso dá aos invasores a capacidade de espalhar programas funcionais sem ter que desenvolvê-los.”
Depois que o programa armadilhado é baixado e o usuário inicia o software, um aplicativo Google Translate real, construído como descrito acima usando o Chromium, é instalado e executado conforme o esperado. Ao mesmo tempo, silenciosamente em segundo plano, o software busca e salva uma série de executáveis que eventualmente agendam um .exe específico para ser executado todos os dias uma vez descompactado. Isso extrai outro executável que se conecta a um servidor remoto de comando e controle, busca as configurações para o código do minerador Monero e inicia o processo de mineração, com moedas geradas enviadas para as carteiras dos criminosos. Parte do código em estágio inicial se autodestruirá para cobrir seus rastros.
“Neste ponto, todos os arquivos e evidências relacionados são excluídos e o próximo estágio da cadeia de infecção continuará após 15 dias pelo utilitário schtasks.exe do Windows”, escreveu Marelus. forma, as primeiras etapas do campanha são separadas das seguintes, tornando muito difícil rastrear a origem da cadeia de infecção e bloquear os aplicativos infectados iniciais.”
Um estágio também verifica processos conhecidos de máquina virtual e produtos de segurança, o que pode indicar que o software está sendo analisado por pesquisadores. Se um for encontrado, o programa será encerrado. Se o programa continuar, ele adicionará uma regra de firewall para permitir conexões de rede de entrada.
Ao longo dos vários estágios, os invasores usam arquivos criptografados RAR protegidos por senha para entregar o próximo estágio para torná-los mais difícil de detectar.
Os pesquisadores da Check Point puderam estudar a campanha de criptomineração por meio da plataforma de detecção e resposta estendida Infinity (XDR) do fornecedor, afirmou Marelus.
