總部位於以色列的網絡威脅情報公司 Check Point Research (CPR) 揭露了一項名為 Nitrokod 的惡意加密挖掘惡意軟件活動,該活動是感染 11 個國家/地區的數千台機器的幕後黑手。 週日發表的一份報告.
加密礦工惡意軟件,也稱為加密劫持者,是一種利用受感染 PC 的計算能力來挖掘加密貨幣的惡意軟件。
Nitrokod 一直在網站上冒充 Google Translate Desktop 和其他免費軟件,以啟動加密礦工惡意軟件並感染 PC。 當毫無戒心的用戶搜索“谷歌翻譯桌面下載”時,受惡意軟件感染的軟件的惡意鏈接會出現在谷歌搜索結果的頂部。
自 2019 年以來,該惡意軟件一直在多階段感染過程中運行,首先將感染過程延遲到用戶下載惡意鏈接幾週後。 他們還刪除了原始安裝的痕跡,使惡意軟件不被防病毒程序檢測到。
“一旦用戶啟動新軟件,就會安裝一個實際的谷歌翻譯應用程序,”CPR 報告中寫道。 這是受害者遇到具有基於 Chromium 框架的逼真程序的地方,該框架將用戶從谷歌翻譯網頁引導並誘使他們下載虛假應用程序。
在下一階段,惡意軟件安排任務清除日誌以刪除相關文件和證據,並且感染鏈的下一階段將在 15 天后繼續,多階段方法幫助惡意軟件避免在安全研究人員設置的沙箱中被檢測到。
“此外,還會刪除一個更新的文件,這會啟動一系列四個 dropper,直到 實際 惡意軟件已被刪除,”CPR 報告補充道。
換句話說,該惡意軟件啟動了門羅幣(XMR)加密挖掘操作,通過連接到其命令和控制服務器,惡意軟件“powermanager.exe”被秘密投放到受感染的機器中,使網絡犯罪分子能夠利用谷歌翻譯桌面應用程序的用戶獲利.
門羅幣是最知名的加密貨幣劫持者和其他非法交易。 加密貨幣為其持有者提供近乎匿名的服務。
很容易成為加密礦工惡意軟件的受害者,因為它們是從合法應用程序的谷歌搜索結果頂部的軟件中刪除的。 如果您懷疑您的 PC 被感染,有關如何恢復受感染計算機的詳細信息可以 可在 CPR 報告的末尾找到。
來源:https://cryptoslate.com/crypto-miner-malware-impersonates-google-translate-desktop-other-legitimate-apps/