- Nitrokod está atualmente no topo dos resultados de pesquisa do Google para aplicativos populares, incluindo o Tradutor
- O malware minera maliciosamente o monero usando os recursos do computador dos usuários, ecoando o outrora prolífico CoinHive
Uma campanha de malware insidiosa direcionada a usuários que pesquisam aplicativos do Google infectou milhares de computadores em todo o mundo para minerar o crypto monero (XMR) focado na privacidade.
Você provavelmente nunca ouviu falar de Nitrokod. A empresa de inteligência cibernética Check Point Research (CPR), com sede em Israel, tropeçou no malware no mês passado.
Em um artigo do reportagem no domingo, a empresa disse que o Nitrokod inicialmente se mascara como um software livre, tendo encontrado um sucesso notável no topo dos resultados de pesquisa do Google para "download para desktop do Google Translate".
Também conhecido como cryptojacking, o malware de mineração tem sido usado para se infiltrar nas máquinas de usuários desavisados desde pelo menos 2017, quando ganhou destaque junto com a popularidade da criptomoeda.
O CPR detectou anteriormente o conhecido malware de cryptojacking CoinHive, que também minerou o XMR, em novembro daquele ano. CoinHive foi dito estar roubando 65% dos recursos totais de CPU de um usuário final sem o seu conhecimento. Acadêmicos calculado o malware estava gerando US$ 250,000 por mês em seu pico, com a maior parte indo para menos de uma dúzia de indivíduos.
Quanto ao Nitrokod, o CPR acredita que foi implantado por uma entidade de língua turca em algum momento de 2019. Ele opera em sete estágios à medida que avança em seu caminho para evitar a detecção de programas antivírus e defesas do sistema típicos.
“O malware é facilmente descartado do software encontrado nos principais resultados de pesquisa do Google para aplicativos legítimos”, escreveu a empresa em seu relatório.
A Softpedia e a Uptodown foram consideradas as duas principais fontes de aplicativos falsos. A Blockworks entrou em contato com o Google para saber mais sobre como filtra esses tipos de ameaças.
Depois de baixar o aplicativo, um instalador executa um conta-gotas atrasado e se atualiza continuamente a cada reinicialização. No quinto dia, o conta-gotas atrasado extrai um arquivo criptografado.
O arquivo então inicia os estágios finais do Nitrokod, que definem o agendamento de tarefas, a limpeza de logs e a adição de exceções aos firewalls antivírus após 15 dias.
Finalmente, o malware de mineração de criptografia “powermanager.exe” é sub-repticiamente colocado na máquina infectada e começa a gerar criptografia usando o minerador de CPU baseado em Monero de código aberto XMRig (o mesmo usado pela CoinHive).
“Após a instalação inicial do software, os invasores atrasaram o processo de infecção por semanas e excluíram rastros da instalação original”, escreveu a empresa em seu relatório. “Isso permitiu que a campanha operasse com sucesso sob o radar por anos.”
Detalhes de como limpar máquinas infectadas com Nitrokod podem ser encontrados em fim do relatório de ameaças do CPR.
Receba as principais notícias e informações sobre criptografia do dia em sua caixa de entrada todas as noites. Assine o boletim informativo gratuito da Blockworks !
Fonte: https://blockworks.co/monero-mining-malware-finds-success-at-top-of-google-search/