Skadevare for kryptogruvedrift har snikt invadert hundretusenvis av datamaskiner rundt om i verden siden 2019, ofte maskert som legitime programmer som Google Translate, har ny forskning funnet.
I en mandagsrapport fra Check Point Research (CPR), et forskningsteam for den amerikansk-israelske cybersikkerhetsleverandøren, avslørte Check Point Software Technologies at skadelig programvare har blitt flyr under radaren i årevis, delvis takket være den lumske designen som forsinker installasjonen kryptogruvedrift skadelig programvare i flere uker etter den første programvarenedlastingen.
.@_CPresearch_ oppdaget en #krypto gruvearbeider #skadevare kampanje, som potensielt infiserte tusenvis av maskiner over hele verden. Kalt “Nitrokod,” angrepet ble opprinnelig funnet av Check Point XDR. Få detaljene her: https://t.co/MeaLP3nh97 #kryptovaluta #Teknologinyheter #CyberSec pic.twitter.com/ANoeI7FZ1O
— Check Point-programvare (@CheckPointSW) 29. august 2022
Koblet til en tyrkisk-talende programvareutvikler som hevder å tilby «gratis og sikker programvare», invaderer skadevareprogrammet PC-er gjennom forfalskede desktopversjoner av populære apper som YouTube Music, Google Translate og Microsoft Translate.
Når en planlagt oppgavemekanisme utløser installasjonsprosessen for skadelig programvare, går den jevnlig gjennom flere trinn over flere dager, og ender med en stealth Monero (XMR) kryptogruvedrift blir satt opp.
Nettsikkerhetsfirmaet sa at den tyrkisk-baserte kryptogruvearbeideren kalt ‘Nitrokod’ har infisert maskiner i 11 land.
I følge CPR hadde populære nettsteder for nedlasting av programvare som Softpedia og Uptodown forfalskninger tilgjengelig under utgivernavnet Nitrokod INC.
Noen av programmene hadde blitt lastet ned hundretusenvis av ganger, for eksempel den falske skrivebordsversjonen av Google Translate på Softpedia, som til og med hadde nesten tusen anmeldelser, med en gjennomsnittlig stjernescore på 9,3 av 10, til tross for at Google ikke har et offisielt skrivebord. versjon for det programmet.
I følge Check Point Software Technologies er det å tilby en desktopversjon av apper en sentral del av svindelen.
De fleste programmene som tilbys av Nitrokod har ikke en desktopversjon, noe som gjør den forfalskede programvaren tiltalende for brukere som tror de har funnet et program utilgjengelig andre steder.
I følge Maya Horowitz, visepresident for forskning i Check Point Software, er forfalskningene med skadelig programvare også tilgjengelig «ved et enkelt nettsøk».
“Det som er mest interessant for meg er det faktum at den ondsinnede programvaren er så populær, men likevel gikk under radaren så lenge.”
I skrivende stund er Nitrokods imiterte Google Translate Desktop-program fortsatt et av hovedsøkeresultatene.
Design bidrar til å unngå deteksjon
Skadevaren er spesielt vanskelig å oppdage, da selv når en bruker starter den falske programvaren, forblir de ikke desto klokere ettersom de falske appene også kan etterligne de samme funksjonene som den legitime appen gir.
De fleste av hackerens programmer bygges enkelt fra de offisielle nettsidene ved å bruke et Chromium-basert rammeverk, slik at de kan spre funksjonelle programmer lastet med skadelig programvare uten å utvikle dem fra grunnen av.
I slekt: 8 sleipe kryptosvindel på Twitter akkurat nå
Så langt har over hundre tusen mennesker over hele Israel, Tyskland, Storbritannia, USA, Sri Lanka, Kypros, Australia, Hellas, Tyrkia, Mongolia og Polen alle blitt offer for skadevare.
For å unngå å bli lurt av denne skadevare og andre lignende, sier Horowitz at flere grunnleggende sikkerhetstips kan bidra til å redusere risikoen.
“Vær oppmerksom på domener som ligner, stavefeil på nettsteder og ukjente e-postavsendere. Last kun ned programvare fra autoriserte, kjente utgivere eller leverandører og sørg for at endepunktsikkerheten din er oppdatert og gir omfattende beskyttelse.”