- Kasalukuyang itinatampok ang Nitrokod sa tuktok ng mga resulta ng paghahanap sa Google para sa mga sikat na app, kabilang ang Translate
- Ang malware ay malisyosong mina ng monero gamit ang mga mapagkukunan ng computer ng mga user, na umaalingawngaw sa dating napakarami ng CoinHive
Ang isang mapanlinlang na kampanya ng malware na nagta-target sa mga user na naghahanap ng mga application ng Google ay nahawahan ng libu-libong mga computer sa buong mundo upang minahan ng crypto monero (XMR) na nakatuon sa privacy.
Marahil ay hindi mo pa narinig ang tungkol sa Nitrokod. Ang Israeli-based cyber intelligence firm na Check Point Research (CPR) ay natisod sa malware noong nakaraang buwan.
Sa isang ulat noong Linggo, sinabi ng firm na ang Nitrokod sa una ay nagkukunwari sa sarili bilang isang libreng software, na nakakita ng kahanga-hangang tagumpay sa tuktok ng mga resulta ng paghahanap sa Google para sa "Google Translate desktop download."
Kilala rin bilang cryptojacking, ginamit ang pagmimina ng malware para makalusot sa mga makina ng hindi mapag-aalinlanganan ng user simula noong 2017 man lang, nang sumikat sila kasama ng kasikatan ng crypto.
Natuklasan dati ng CPR ang kilalang cryptojacking malware na CoinHive, na nagmina rin ng XMR, noong Nobyembre ng taong iyon. Sinasabing nagnanakaw ang CoinHive 65% ng kabuuang mapagkukunan ng CPU ng end-user nang hindi nila nalalaman. Mga akademya tinantiya ang malware ay bumubuo ng $250,000 bawat buwan sa pinakamataas nito, na ang karamihan nito ay napupunta sa wala pang isang dosenang indibidwal.
Tulad ng para sa Nitrokod, naniniwala ang CPR na na-deploy ito ng isang entity na nagsasalita ng Turkish noong 2019. Gumagana ito sa pitong yugto habang lumilipat ito sa landas nito upang maiwasan ang pagtuklas mula sa mga tipikal na antivirus program at system defense.
"Ang malware ay madaling matanggal mula sa software na matatagpuan sa mga nangungunang resulta ng paghahanap sa Google para sa mga lehitimong aplikasyon," isinulat ng firm sa ulat nito.
Ang Softpedia at Uptodown ay natagpuan na dalawang pangunahing pinagmumulan ng mga pekeng aplikasyon. Nakipag-ugnayan ang Blockworks sa Google upang matuto nang higit pa tungkol sa kung paano nito sinasala ang mga ganitong uri ng pagbabanta.
Pagkatapos i-download ang application, ang isang installer ay nagpapatupad ng isang naantalang dropper at patuloy na ina-update ang sarili nito sa bawat pag-restart. Sa ikalimang araw, kinukuha ng naantalang dropper ang isang naka-encrypt na file.
Pagkatapos ay sinisimulan ng file ang mga huling yugto ng Nitrokod, na nagtatakda ng tungkol sa pag-iskedyul ng mga gawain, pag-clear ng mga log at pagdaragdag ng mga pagbubukod sa mga antivirus firewall kapag lumipas ang 15 araw.
Sa wakas, ang malware sa pagmimina ng crypto na "powermanager.exe" ay walang alinlangan na ibinagsak sa nahawaang makina at nagtatakda tungkol sa pagbuo ng crypto gamit ang open source na Monero-based na CPU miner na XMRig (kaparehong ginamit ng CoinHive).
"Pagkatapos ng paunang pag-install ng software, naantala ng mga umaatake ang proseso ng impeksyon sa loob ng ilang linggo at tinanggal ang mga bakas mula sa orihinal na pag-install," isinulat ng firm sa ulat nito. "Pinayagan nito ang kampanya na matagumpay na gumana sa ilalim ng radar sa loob ng maraming taon."
Ang mga detalye kung paano linisin ang mga makinang nahawahan ng Nitrokod ay matatagpuan sa pagtatapos ng ulat ng pagbabanta ng CPR.
Kunin ang nangungunang balita at mga insight sa crypto sa araw na ito sa iyong inbox tuwing gabi. Mag-subscribe sa libreng newsletter ng Blockworks ngayon.
Pinagmulan: https://blockworks.co/monero-mining-malware-finds-success-at-top-of-google-search/