İsrail merkezli siber tehdit istihbarat firması Check Point Research (CPR), 11 ülkede binlerce makineye bulaşmanın faili olarak Nitrokod adlı kötü niyetli bir kripto madenciliği kötü amaçlı yazılım kampanyasının maskesini düşürdü. Pazar günü yayınlanan bir rapor.
Cryptojackers olarak da bilinen Crypto madenci kötü amaçlı yazılımı, virüslü bilgisayarların bilgi işlem gücünü kripto para madenciliği yapmak için kullanan bir tür kötü amaçlı yazılımdır.
Nitrokod, kripto madenci kötü amaçlı yazılımını başlatmak ve bilgisayarlara bulaşmak için web sitelerinde Google Translate Desktop ve diğer ücretsiz yazılımların kimliğine bürünüyor. Şüphelenmeyen kullanıcılar "Google Translate Desktop indirme" için arama yaptığında, kötü amaçlı yazılım bulaşmış yazılımın kötü amaçlı bağlantısı Google Arama sonuçlarının en üstünde görünür.
2019'dan bu yana, kötü amaçlı yazılım çok aşamalı bir bulaşma süreciyle çalışıyor ve bulaşma sürecini, kullanıcıların kötü amaçlı bağlantıyı indirmesinden birkaç hafta sonrasına kadar erteleyerek başlıyor. Ayrıca, orijinal yüklemenin izlerini kaldırarak kötü amaçlı yazılımın virüsten koruma programları tarafından algılanmasını engeller.
CPR raporunda, "Kullanıcı yeni yazılımı başlattığında, gerçek bir Google Çeviri uygulaması yüklenir." Burada kurbanlar, kullanıcıyı Google Çeviri web sayfasından yönlendiren ve sahte uygulamayı indirmeleri için kandıran Chromium tabanlı bir çerçeveye sahip gerçekçi görünen programlarla karşılaşıyor.
Bir sonraki aşamada, kötü amaçlı yazılım, ilgili dosyaları ve kanıtları kaldırmak için günlükleri temizlemek için görevler planlar ve bulaşma zincirinin bir sonraki aşaması, 15 gün sonra devam edecek çok aşamalı yaklaşım, kötü amaçlı yazılımın güvenlik araştırmacıları tarafından kurulan bir sanal alanda tespit edilmesini önlemeye yardımcı olur.
"Ayrıca, dört damlalık serisini başlatan güncellenmiş bir dosya bırakılır. gerçek kötü amaçlı yazılım düşürüldü," diye CPR raporu eklendi.
Başka bir deyişle, kötü amaçlı yazılım bir Monero (XMR) kripto madenciliği işlemi başlatır ve bu sayede "powermanager.exe" adlı kötü amaçlı yazılım, siber suçluların Google Translate'in masaüstü uygulamasının kullanıcılarından para kazanmasını sağlayan Komuta ve Kontrol sunucusuna bağlanarak virüslü makinelere gizlice bırakılır. .
Monero, kripto hırsızları ve diğer yasa dışı işlemler için en iyi bilinen kripto para birimidir. Kripto para, sahiplerine neredeyse anonimlik sunuyor.
Meşrulaştırılmış uygulamalar için Google arama sonuçlarının en üstünde bulunan yazılımlardan düştüklerinden, kripto madenci kötü amaçlı yazılımlarının kurbanı olmak kolaydır. Bilgisayarınıza virüs bulaştığından şüpheleniyorsanız, virüslü makinenizi nasıl kurtaracağınıza ilişkin ayrıntılar, CPR raporunun sonunda bulunabilir.
Kaynak: https://cryptoslate.com/crypto-miner-malware-impersonates-google-translate-desktop-other-legitimate-apps/