Ang Israeli-based cyber threat intelligence firm, ang Check Point Research (CPR) ay nagbukas ng maskara sa isang nakakahamak na crypto mining malware campaign na tinawag na Nitrokod bilang ang may kasalanan sa likod ng impeksyon ng libu-libong makina sa 11 bansa sa isang ulat na inilathala noong Linggo.
Ang Crypto miner malware, na kilala rin bilang cryptojackers, ay isang uri ng malware na nagsasamantala sa kapangyarihan ng pag-compute ng mga nahawaang PC upang minahan ng cryptocurrency.
Ginagaya ni Nitrokod ang Google Translate Desktop at iba pang libreng software sa mga website para ilunsad ang crypto miner malware at makahawa sa mga PC. Kapag ang mga hindi pinaghihinalaang user ay naghahanap ng "Google Translate Desktop download", ang nakakahamak na link sa software na nahawaan ng malware ay lalabas sa itaas ng mga resulta ng Google Search.
Mula noong 2019, ang malware ay gumagana nang may maraming yugto ng proseso ng impeksyon, na nagsisimula sa pamamagitan ng pag-antala sa pagkontamina sa proseso ng impeksyon hanggang sa ilang linggo pagkatapos i-download ng mga user ang nakakahamak na link. Tinatanggal din nila ang mga bakas ng orihinal na pag-install, na pinapanatili ang malware-free mula sa pagtuklas ng mga anti-virus program.
"Sa sandaling inilunsad ng user ang bagong software, isang aktwal na application ng Google Translate ang na-install," nabasa ang ulat ng CPR. Dito nakatagpo ang mga biktima ng mga program na mukhang makatotohanan na may balangkas na batay sa Chromium na nagdidirekta sa user mula sa webpage ng Google Translate at nanlinlang sa kanila sa pag-download ng pekeng application.
Sa susunod na yugto, ang malware ay nag-iskedyul ng mga gawain upang i-clear ang mga log upang alisin ang mga nauugnay na file at ebidensya at ang susunod na yugto ng chain ng impeksyon ay magpapatuloy pagkatapos ng 15 araw na multi-stage na diskarte ay tumutulong sa malware na maiwasang matukoy sa isang sandbox na itinakda ng mga mananaliksik ng seguridad.
"Sa karagdagan, ang isang na-update na file ay na-drop, na nagsisimula ng isang serye ng apat na dropper hanggang sa tunay malware is dropped,” idinagdag ng CPR report.
Sa madaling salita, ang malware ay nagsimula ng isang Monero (XMR) crypto-mining operation kung saan ang malware na “powermanager.exe” ay palihim na nahuhulog sa mga infected na makina sa pamamagitan ng pagkonekta sa Command and Control server nito na nagbibigay-daan sa mga cybercriminal na pagkakitaan ang mga user ng desktop app ng Google Translate. .
Ang Monero ay ang pinakakilalang cryptocurrency para sa mga cryptojacker at iba pang mga ipinagbabawal na transaksyon. Ang cryptocurrency ay nag-aalok ng malapit sa anonymity para sa mga may hawak nito.
Madaling mabiktima ng crypto miner malware dahil ang mga ito ay tinanggal mula sa software na matatagpuan sa itaas ng mga resulta ng paghahanap sa Google para sa mga lehitimong application. Kung pinaghihinalaan mo na ang iyong PC ay nahawaan, ang mga detalye kung paano i-recover ang iyong nahawaang makina ay maaaring makikita sa dulo ng ulat ng CPR.
Pinagmulan: https://cryptoslate.com/crypto-miner-malware-impersonates-google-translate-desktop-other-legitimate-apps/