Os pesquisadores da Check Point compartilharam detalhes de uma nova campanha na qual os cibercriminosos estão distribuindo malware de mineração de criptomoedas. Esse malware é difícil de detectar por usuários desavisados porque é distribuído por meio do Google Tradutor falso e malicioso e de outros aplicativos populares.
De acordo com pesquisadores, o malware é disseminado por meio de sites de terceiros hospedados em plataformas como Uptodown e Softpedia e oferecem downloads de software gratuitos. Esses sites podem ser acessados através de uma simples pesquisa no Google.
Aplicativos maliciosos falsos que espalham o minerador de criptografia Nitrokod (Imagem via CheckPoint)
Análise da campanha
O Trojan de mineração de criptomoedas é chamado Nitrokod. Ele é espalhado disfarçado como um aplicativo limpo do Windows. O malware mantém sua execução em espera por vários dias ou semanas e lança seu código Monero mining quando considera seguro.
Este malware está prontamente disponível , e qualquer um pode usá-lo, afirmou a vice-presidente de pesquisa da Check Point, Maya Horowitz. A lista de vítimas é bastante diversificada, pois estão espalhadas pelos seguintes países:
IsraelTurquia
- Chipre
- Grécia
- Polônia
- Alemanha
- Austrália
-
- Mongólia Sri Lanka
- Estados Unidos
- Reino Unido
O analista de malware da Check Point Moshe Marelus afirmou que o malware cai cerca de um mês após a infecção, e a eliminação de arquivos é um processo de vários estágios, o que torna bastante complicado rastrear seus estágios iniciais .
Táticas de Ataque
O ataque é uma sequência de vários estágios onde cada conta-gotas abre caminho para outro conta-gotas até l o malware real é descartado. O aplicativo é executado conforme o esperado quando o usuário baixa e instala o software carregado com o malware Nitrokod enquanto o trojan malicioso funciona sorrateiramente em segundo plano. Ele busca e armazena vários executáveis e agenda um arquivo .exe para ser executado todos os dias assim que descompactados.
Quando os arquivos são executados, outro arquivo executável é extraído, o que estabelece uma conexão com um Servidor C2, obtém as definições de configuração do dispositivo para o código Monero miner e o processo de mineração é iniciado. As moedas geradas são enviadas para as carteiras dos atacantes. Em algum momento, todos os arquivos do estágio inicial são autoexcluídos e o próximo estágio da cadeia de infecção começa após quinze dias por meio do utilitário schtasks.exe do Windows.
“Dessa forma, as primeiras etapas da campanha são separadas das seguintes, tornando muito difícil rastrear a origem da cadeia de infecção e bloquear os aplicativos infectados iniciais .”
Moshe Marelus – Check Point
O malware também inspeciona processos de máquina virtual conhecidos e produtos de segurança instalados . Se detectado, o programa para e é encerrado.
Um estágio também verifica processos de máquina virtual conhecidos e produtos de segurança. Se encontrado, o programa é encerrado. Se não, continua. Os cibercriminosos usam arquivos criptografados RAR e protegidos por senha em todas as etapas para torná-los difíceis de detectar.
Cadeia de infecção
Quem são os atacantes?
Pesquisa da CheckPoint sugere que um grupo de hackers de língua turca apelidado de Nitrokod está por trás desta campanha revelou a equipe da Check Point Research. Ela está ativa desde 2019. Essa campanha foi descoberta em julho de 2022 e, até agora, afetou 111.000 usuários em 11 países.
O modus operandi usado para prender usuários é oferecer desktop versões de aplicativos legítimos que não têm suas versões para desktop. Os programadores da Nitrokod esperam pacientemente antes de lançar o malware, e seus ataques envolvem vários estágios.
Software Explorado
Além do Google Tradutor, a Nitrokod aproveitou outros aplicativos de tradução, por exemplo, YouTube Music, Microsoft Translator Desktop e programas de download de MP3. Os aplicativos maliciosos afirmam ser 100% limpos, mas contêm um minerador de criptografia.
Related Notícias Google A falha do ReCaptcha permite que os bots ignorem o desafio do captcha de áudio graças ao Google AdsGoogle, Microsoft e Oracle geraram o maior número de vulnerabilidades em 2021 O Google compartilha detalhes da vulnerabilidade não corrigida do Windows AppContainerO Google Drive foi responsável por 50% dos downloads de documentos maliciosos do Office
