イスラエルを拠点とするサイバー脅威インテリジェンス企業である Check Point Research (CPR) は、悪意のある仮想通貨マイニング マルウェア キャンペーンの正体を明らかにし、Nitrokod が 11 か国の数千台のマシンの感染の背後にある犯人であると名付けました。 日曜日に発表されたレポート.
クリプト マイナー マルウェアは、クリプトジャッカーとも呼ばれ、感染した PC のコンピューティング能力を悪用して暗号通貨をマイニングするマルウェアの一種です。
Nitrokod は、Web サイトで Google Translate Desktop やその他のフリー ソフトウェアになりすまして、クリプト マイナー マルウェアを起動し、PC に感染させています。 疑いを持たないユーザーが「Google Translate Desktop ダウンロード」を検索すると、マルウェアに感染したソフトウェアへの悪意のあるリンクが Google 検索結果の上部に表示されます。
2019 年以降、このマルウェアは多段階の感染プロセスで動作しており、感染プロセスの汚染をユーザーが悪意のあるリンクをダウンロードしてから数週間後まで遅らせることから始めています。 また、元のインストールの痕跡を削除し、マルウェアがウイルス対策プログラムによって検出されないようにします。
「ユーザーが新しいソフトウェアを起動すると、実際の Google 翻訳アプリケーションがインストールされます」と CPR のレポートには記載されています。 ここで、被害者は Chromium ベースのフレームワークを使用した本物そっくりのプログラムに遭遇します。このプログラムは、ユーザーを Google 翻訳 Web ページから誘導し、だまして偽のアプリケーションをダウンロードさせます。
次の段階では、マルウェアはタスクをスケジュールしてログをクリアし、関連するファイルと証拠を削除します。感染チェーンの次の段階は、15 日後に続行されます。多段階のアプローチにより、セキュリティ研究者が設定したサンドボックスでマルウェアが検出されるのを回避できます。
「さらに、更新されたファイルがドロップされます。これにより、一連の XNUMX つのドロッパーが、 実際の マルウェアは投下されました」と CPR レポートは付け加えました。
言い換えれば、マルウェアは Monero (XMR) クリプトマイニング操作を開始し、サイバー犯罪者が Google 翻訳のデスクトップ アプリのユーザーを収益化できるようにするコマンド アンド コントロール サーバーに接続することにより、マルウェア「powermanager.exe」が感染したマシンに密かに投下されます。 .
モネロは、クリプトジャッカーやその他の違法取引で最もよく知られている仮想通貨です。 暗号通貨は、その所有者にほぼ匿名性を提供します。
クリプト マイナー マルウェアは、正当なアプリケーションの Google 検索結果の上位に表示されるソフトウェアからドロップされるため、簡単に被害に遭う可能性があります。 PC が感染している疑いがある場合は、感染したマシンを回復する方法の詳細を確認できます。 CPR レポートの最後に記載されています。
ソース: https://cryptoslate.com/crypto-miner-malware-impersonates-google-translate-desktop-other-legitimate-apps/