总部位于以色列的网络威胁情报公司 Check Point Research (CPR) 揭露了一项名为 Nitrokod 的恶意加密挖掘恶意软件活动,该活动是感染 11 个国家/地区的数千台机器的幕后黑手。 周日发表的一份报告.
加密矿工恶意软件,也称为加密劫持者,是一种利用受感染 PC 的计算能力来挖掘加密货币的恶意软件。
Nitrokod 一直在网站上冒充 Google Translate Desktop 和其他免费软件,以启动加密矿工恶意软件并感染 PC。 当毫无戒心的用户搜索“谷歌翻译桌面下载”时,受恶意软件感染的软件的恶意链接会出现在谷歌搜索结果的顶部。
自 2019 年以来,该恶意软件一直在多阶段感染过程中运行,首先将感染过程延迟到用户下载恶意链接几周后。 他们还删除了原始安装的痕迹,使恶意软件不被防病毒程序检测到。
“一旦用户启动新软件,就会安装一个实际的谷歌翻译应用程序,”CPR 报告中写道。 这是受害者遇到具有基于 Chromium 框架的逼真程序的地方,该框架将用户从谷歌翻译网页引导并诱使他们下载虚假应用程序。
在下一阶段,恶意软件安排任务清除日志以删除相关文件和证据,并且感染链的下一阶段将在 15 天后继续,多阶段方法帮助恶意软件避免在安全研究人员设置的沙箱中被检测到。
“此外,还会删除一个更新的文件,这会启动一系列四个 dropper,直到 实际 恶意软件已被删除,”CPR 报告补充道。
换句话说,该恶意软件启动了门罗币(XMR)加密挖掘操作,通过连接到其命令和控制服务器,恶意软件“powermanager.exe”被秘密投放到受感染的机器中,使网络犯罪分子能够利用谷歌翻译桌面应用程序的用户获利.
门罗币是最知名的加密货币劫持者和其他非法交易。 加密货币为其持有者提供近乎匿名的服务。
很容易成为加密矿工恶意软件的受害者,因为它们是从合法应用程序的谷歌搜索结果顶部的软件中删除的。 如果您怀疑您的 PC 被感染,有关如何恢复受感染计算机的详细信息可以 可在 CPR 报告的末尾找到。
来源:https://cryptoslate.com/crypto-miner-malware-impersonates-google-translate-desktop-other-legitimate-apps/