A empresa de inteligência de ameaças cibernéticas com sede em Israel, Check Point Research (CPR) desmascarou uma campanha de malware de mineração de criptografia maliciosa apelidada de Nitrokod como o autor por trás da infecção de milhares de máquinas em 11 países em reportagem publicada no domingo.
O malware minerador de criptografia, também conhecido como cryptojackers, é um tipo de malware que explora o poder de computação dos PCs infectados para minerar criptomoedas.
A Nitrokod tem representado o Google Translate Desktop e outros softwares gratuitos em sites para lançar malware de mineração de criptografia e infectar PCs. Quando usuários desavisados pesquisam por “download do Google Translate Desktop”, o link malicioso para o software infectado por malware aparece na parte superior dos resultados da Pesquisa Google.
Desde 2019, o malware opera com um processo de infecção em vários estágios, começando por atrasar a contaminação do processo de infecção até algumas semanas após os usuários baixarem o link malicioso. Eles também removem vestígios da instalação original, mantendo o malware livre de detecção por programas antivírus.
“Uma vez que o usuário inicia o novo software, um aplicativo real do Google Translate é instalado”, dizia o relatório do CPR. É aqui que as vítimas encontram programas de aparência realista com uma estrutura baseada no Chromium que direciona o usuário da página do Google Tradutor e os engana para baixar o aplicativo falso.
No próximo estágio, o malware agenda tarefas para limpar logs para remover arquivos e evidências relacionados e o próximo estágio da cadeia de infecção continuará após 15 dias.
“Além disso, um arquivo atualizado é descartado, que inicia uma série de quatro conta-gotas até o real malware é descartado”, acrescentou o relatório CPR.
Em outras palavras, o malware inicia uma operação de mineração de criptografia Monero (XMR) em que o malware “powermanager.exe” é colocado furtivamente nas máquinas infectadas, conectando-se ao seu servidor de Comando e Controle que permite que os cibercriminosos monetizem usuários do aplicativo de desktop do Google Tradutor .
Monero é a criptomoeda mais conhecida para cryptojackers e outras transações ilícitas. A criptomoeda oferece quase anonimato para seus detentores.
É fácil ser vítima de malware de mineração de criptografia, pois eles são descartados do software encontrado no topo dos resultados de pesquisa do Google para aplicativos legítimos. Se você suspeitar que seu PC está infectado, detalhes sobre como recuperar sua máquina infectada podem no final do relatório de RCP.
