La société israélienne de renseignement sur les cybermenaces Check Point Research (CPR) a démasqué une campagne malveillante de minage de cryptomonnaies surnommée Nitrokod comme l'auteur de l'infection de milliers de machines dans 11 pays en un rapport publié dimanche.
Les logiciels malveillants de crypto-minage, également connus sous le nom de cryptojackers, sont un type de logiciel malveillant qui exploite la puissance de calcul des PC infectés pour exploiter la crypto-monnaie.
Nitrokod a usurpé l'identité de Google Translate Desktop et d'autres logiciels gratuits sur des sites Web pour lancer des logiciels malveillants de crypto-mineurs et infecter les PC. Lorsque des utilisateurs peu méfiants recherchent "Téléchargement Google Translate Desktop", le lien malveillant vers le logiciel infecté par le logiciel malveillant apparaît en haut des résultats de recherche Google.
Depuis 2019, le logiciel malveillant fonctionne avec un processus d'infection en plusieurs étapes, commençant par retarder la contamination du processus d'infection jusqu'à quelques semaines après que les utilisateurs aient téléchargé le lien malveillant. Ils suppriment également les traces de l'installation d'origine, empêchant ainsi la détection des logiciels malveillants par les programmes antivirus.
"Une fois que l'utilisateur lance le nouveau logiciel, une véritable application Google Translate est installée", lit-on dans le rapport du CPR. C'est là que les victimes rencontrent des programmes réalistes avec un cadre basé sur Chromium qui dirige l'utilisateur depuis la page Web de Google Translate et l'incite à télécharger la fausse application.
Dans l'étape suivante, le logiciel malveillant planifie des tâches pour effacer les journaux afin de supprimer les fichiers et les preuves associés et la prochaine étape de la chaîne d'infection se poursuivra après 15 jours. Une approche en plusieurs étapes aide le logiciel malveillant à éviter d'être détecté dans un bac à sable mis en place par des chercheurs en sécurité.
"De plus, un fichier mis à jour est déposé, ce qui démarre une série de quatre compte-gouttes jusqu'à ce que le présenter les logiciels malveillants sont abandonnés », a ajouté le rapport du CPR.
En d'autres termes, le logiciel malveillant lance une opération de crypto-extraction Monero (XMR) dans laquelle le logiciel malveillant "powermanager.exe" est déposé furtivement dans les machines infectées en se connectant à son serveur de commande et de contrôle qui permet aux cybercriminels de monétiser les utilisateurs de l'application de bureau de Google Translate. .
Monero est la crypto-monnaie la plus connue pour les cryptojackers et autres transactions illicites. La crypto-monnaie offre un quasi-anonymat à ses détenteurs.
Il est facile d'être victime de logiciels malveillants de crypto-mineurs, car ils sont supprimés des logiciels trouvés en haut des résultats de recherche Google pour les applications légitimées. Si vous pensez que votre PC est infecté, des détails sur la façon de récupérer votre machine infectée peuvent se trouvent à la fin du rapport RCP.
Source : https://cryptoslate.com/crypto-miner-malware-impersonates-google-translate-desktop-other-legitimate-apps/