Яндекс Google Microsoft Check Point
Хакеры объединили несколько способов атак и создали, возможно, идеальное вредоносное ПО.
Исследователи Check Point
приписали
тюркоязычную
организацию Nitrokod
к активной кампании по добыче криптовалюты, которая включает в себя использование поддельных настольных приложений-дропперов для заражения более 111 000 жертв в 11 странах с 2019 года.
Вице-президент по исследованиям Check Point Майя Горовиц
заявила , что вредоносные инструменты могут быть использованы кем угодно. Их можно найти с помощью поиска в Интернете, загрузить по ссылке и установить двойным щелчком мыши.
Кампания затронула жертв в следующих странах: Великобритания, США, Шри-Ланка, Греция, Израиль, Германия, Турция, Кипр, Австралия, Монголия и Польша.
Вредоносное ПО распространяется через бесплатное ПО, размещенное на популярных сайтах, таких как Softpedia и Uptodown. Примечательно, что вредоносное ПО откладывает свое выполнение на недели и отделяет свою вредоносную активность от загруженного поддельного ПО, чтобы избежать обнаружения.
.png)
Схема заражения Nitrokod
После установки зараженной программы происходит развертывание исполняемого файла обновления на диске, который запускает 4-ехэтапную последовательность атаки, при которой каждый дроппер готовит следующий, пока вредоносное ПО не будет удалено на седьмом этапе.
После запуска вредоносной программы устанавливается соединение с удаленным сервером управления и контроля (C&C) для получения файла конфигурации, чтобы инициировать криптоджекинг.
.png)
Поддельные программы-дропперы
Отличительной чертой кампании Nitrokod является то, что поддельное ПО предназначено для сервисов, у которых нет официальной настольной версии:
Яндекс.Переводчик;
Google Translate;
Microsoft Translate;
YouTube Music;
MP3 Download Manager;
Pc Auto Shutdown.
Кроме того, вредоносное ПО удаляется почти через месяц после первоначального заражения, когда удаляется криминалистический след. Это затрудняет анализ атаки и ее отслеживание до установщика.
Горовиц заявила, что хакер может легко изменить конечную полезную нагрузку атаки, изменив ее с криптомайнера на программу-вымогатель или банковский троян.