- Nitrokod pada masa ini dipaparkan di bahagian atas hasil carian Google untuk apl popular, termasuk Terjemah
- Malware secara berniat jahat melombong monero menggunakan sumber komputer pengguna, menggemakan CoinHive yang pernah prolifik
Kempen perisian hasad licik yang menyasarkan pengguna yang mencari aplikasi Google telah menjangkiti beribu-ribu komputer di seluruh dunia untuk melombong crypto monero (XMR) yang memfokuskan privasi.
Anda mungkin tidak pernah mendengar tentang Nitrokod. Firma risikan siber yang berpangkalan di Israel, Check Point Research (CPR) menemui perisian hasad bulan lepas.
Dalam pakej laporan pada hari Ahad, firma itu berkata Nitrokod pada mulanya menyamar sebagai perisian percuma, setelah menemui kejayaan luar biasa di bahagian atas hasil carian Google untuk "muat turun desktop Terjemahan Google."
Juga dikenali sebagai cryptojacking, perisian hasad perlombongan telah digunakan untuk menyusup masuk ke dalam mesin pengguna yang tidak curiga sejak sekurang-kurangnya 2017, apabila mereka menjadi terkenal di samping populariti crypto.
CPR sebelum ini mengesan malware cryptojacking terkenal CoinHive, yang juga melombong XMR, pada bulan November tahun itu. CoinHive dikatakan mencuri 65% daripada jumlah sumber CPU pengguna akhir tanpa pengetahuan mereka. Akademik dikira perisian hasad itu menjana $250,000 sebulan pada kemuncaknya, dengan sebahagian besarnya mencecah kurang daripada sedozen individu.
Bagi Nitrokod, CPR percaya ia telah digunakan oleh entiti berbahasa Turki pada tahun 2019. Ia beroperasi merentasi tujuh peringkat semasa ia bergerak di sepanjang laluannya untuk mengelakkan pengesanan daripada program antivirus biasa dan pertahanan sistem.
"Malware ini mudah digugurkan daripada perisian yang ditemui pada hasil carian Google teratas untuk aplikasi yang sah," tulis firma itu dalam laporannya.
Softpedia dan Uptodown didapati menjadi dua sumber utama aplikasi palsu. Blockworks telah menghubungi Google untuk mengetahui lebih lanjut tentang cara ia menapis jenis ancaman ini.
Selepas memuat turun aplikasi, pemasang melaksanakan penitis tertangguh dan sentiasa mengemas kini dirinya pada setiap permulaan semula. Pada hari kelima, penitis yang tertangguh mengekstrak fail yang disulitkan.
Fail itu kemudiannya memulakan peringkat akhir Nitrokod, yang menetapkan tentang tugas penjadualan, mengosongkan log dan menambah pengecualian pada tembok api antivirus sebaik sahaja 15 hari berlalu.
Akhir sekali, perisian hasad perlombongan kripto “powermanager.exe” dijatuhkan secara mengejut ke dalam mesin yang dijangkiti dan menetapkan tentang penjanaan kripto menggunakan sumber terbuka pelombong CPU berasaskan Monero XMRig (yang sama digunakan oleh CoinHive).
"Selepas pemasangan perisian awal, penyerang menangguhkan proses jangkitan selama berminggu-minggu dan memadamkan kesan daripada pemasangan asal," tulis firma itu dalam laporannya. "Ini membolehkan kempen itu berjaya beroperasi di bawah radar selama bertahun-tahun."
Butiran cara membersihkan mesin yang dijangkiti Nitrokod boleh didapati di akhir laporan ancaman CPR.
Dapatkan berita dan cerapan crypto popular hari ini dihantar ke peti masuk anda setiap petang. Langgan surat berita percuma Blockworks sekarang.
Sumber: https://blockworks.co/monero-mining-malware-finds-success-at-top-of-google-search/