Переводчики Яндекс и Google распространяют вредоносное ПО на протяжении 3 лет

Пн 29 Август 2022 13:35

Исследователи Check Point приписали тюркоязычную группировку Nitrokod к активной кампании по добыче криптовалюты, которая включает в себя использование поддельных настольных приложений-дропперов для заражения более 111 000 жертв в 11 странах с 2019 года.

Вице-президент по исследованиям Check Point Майя Горовиц заявила , что вредоносные инструменты могут быть использованы кем угодно. Их можно найти с помощью поиска в Интернете, загрузить по ссылке и установить двойным щелчком мыши.

Кампания затронула жертв в следующих странах: Великобритания, США, Шри-Ланка, Греция, Израиль, Германия, Турция, Кипр, Австралия, Монголия и Польша.

Вредоносное ПО распространяется через бесплатное ПО, размещенное на популярных сайтах, таких как Softpedia и Uptodown. Примечательно, что вредоносное ПО откладывает свое выполнение на недели и отделяет свою вредоносную активность от загруженного поддельного ПО, чтобы избежать обнаружения.

Схема заражения Nitrokod

После установки зараженной программы происходит развертывание исполняемого файла обновления на диске, который запускает 4-ехэтапную последовательность атаки, при которой каждый дроппер готовит следующий, пока вредоносное ПО не будет удалено на седьмом этапе.

После запуска вредоносной программы устанавливается соединение с удаленным сервером управления и контроля (C&C) для получения файла конфигурации, чтобы инициировать криптоджекинг.

Поддельные программы-дропперы

Отличительной чертой кампании Nitrokod является то, что поддельное ПО предназначено для сервисов, у которых нет официальной настольной версии:

Кроме того, вредоносное ПО удаляется почти через месяц после первоначального заражения, когда удаляется криминалистический след. Это затрудняет анализ атаки и ее отслеживание до установщика.

Горовиц заявила, что хакер может легко изменить конечную полезную нагрузку атаки, изменив ее с криптомайнера на программу-вымогатель или банковский троян.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 257 дней 12 часов 6 минут 48 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.