Uma entidade de origem turca chamada Nitrokod foi atribuída a uma campanha ativa de mineração de criptomoedas que envolve a representação de um aplicativo de desktop para o Google Translate para infectar mais de 111.000 vítimas em 11 países desde 2019.
“As ferramentas maliciosas podem ser utilizadas por qualquer pessoa”, disse Maya Horowitz, vice-presidente da Check Point (empresa de segurança). Essas ferramentas podem ser encontradas com grande facilidade com uma simples pesquisa na web, e instalados com um simples “Duplo Click.
A lista de países vítimas inclui o Reino Unido, EUA, Sri Lanka, Grécia, Alemanha, Israel, Turquia, Austrália, Mongólia e Polônia.
A campanha envolve servir malware por meio de software gratuito hospedado em sites populares como Softpedia e Uptodown. Mas em uma tática interessante, o malware adia sua execução por semanas e separa sua atividade maliciosa do software falso baixado para evitar a detecção.
Como é instalado?
A instalação do programa infectado é seguida pela implantação de uma atualização executável no disco que, por sua vez, inicia uma sequência de ataque de quatro estágios, com cada dropper preparando o próximo, até que o malware real seja descartado no sétimo estágio .
Após a execução do malware, uma conexão com um servidor remoto de comando e controle (C2) é estabelecida para recuperar um arquivo de configuração para iniciar a atividade de mineração de moedas.
Além disso, o malware é descartado quase um mês após a infecção inicial, quando o rastro forense é excluído, tornando difícil quebrar o ataque e rastreá-lo até o instalador.
Fonte: The Hacker News, CheckPoint
Não esqueça de compartilhar a notícia!