Кампания скрытого майнинга от Nitrokod предположительно заразила вредоносным ПО тысячи компьютеров в 11 странах мира. Об этом сообщили эксперты Check Point Research (CPR).
Злоумышленники внедряли утилиты для скрытого майнинга в бесплатные приложения на основе популярных сервисов вроде Google Translate или YouTube Music.
Кампания связана с турецким разработчиком ПО Nitrokod, работающим с 2019 года. Фирма предлагает якобы бесплатные программы, официальных десктопных версий которых не существует.
Продукты Nitrokod. Данные: CPR.
Большинство таких приложений легко создается с помощью фреймворка на базе Chromium из официальных веб-страниц без необходимости разработки, отметили эксперты.
Популярность базового источника обеспечивает высокие позиции в выдаче поиска. ПО фирмы распространяется через известные площадки для бесплатного софта вроде Softpedia или uptodown, обратили внимание специалисты CPR.
Результаты выдачи по запросу на загрузку Google Translate Desktop. Данные: CPR.
Злоумышленникам удавалось долгое время оставаться незамеченными из-за сложного и многоэтапного этапа заражения. Скрытый модуль установки утилиты для майнинга активировался через несколько недель после инсталляции программы на компьютер.
Процесс внедрения вредоноса разбивался на шесть разнесенных по времени этапов, замаскированных под обновления. На всех стадиях программа-установщик удаляла следы в журналах, затрудняя обнаружение.
После запуска инструмента XMRig для скрытого майнинга Monero вредоносное ПО ежедневно активировало его через запланированные задачи на случай, если защита компьютера его остановила.
По утверждению экспертов, обнаружить масштабную кампанию по скрытому майнингу позволило использование решения XDR от CPR. Инструмент смог выявить каждое отдельное действие вредоносного ПО, отследить по времени и сопоставить с единой атакой.
Напомним, в декабре 2021 года злоумышленники распространили скрытые майнеры Monero через торрент-файл с пиратской версией фильма "Человек-паук: Нет пути домой".