- Nitrokod 目前在熱門應用(包括翻譯)的谷歌搜索結果中名列前茅
- 該惡意軟件使用用戶的計算機資源惡意挖掘門羅幣,與曾經多產的 CoinHive 相呼應
針對搜索 Google 應用程序的用戶的陰險惡意軟件活動已感染全球數千台計算機,以挖掘以隱私為重點的加密貨幣門羅幣 (XMR)。
您可能從未聽說過 Nitrokod。 總部位於以色列的網絡情報公司 Check Point Research (CPR) 上個月偶然發現了該惡意軟件。
在 週日報導,該公司表示,Nitrokod 最初將自己偽裝成免費軟件,在“谷歌翻譯桌面下載”的谷歌搜索結果頂部取得了顯著的成功。
挖礦惡意軟件也稱為加密劫持,至少從 2017 年開始就被用來滲透毫無戒心的用戶機器,當時它們隨著加密貨幣的流行而聲名鵲起。
CPR 此前曾在當年 XNUMX 月檢測到著名的加密劫持惡意軟件 CoinHive,該惡意軟件也挖掘了 XMR。 據說 CoinHive 是在偷竊 最終用戶總 CPU 資源的 65% 在他們不知情的情況下。 學者 計算 該惡意軟件在高峰期每月產生 250,000 美元,其中大部分流向了不到 XNUMX 個人。
至於 Nitrokod,CPR 認為它是由一個土耳其語實體在 2019 年的某個時候部署的。它在沿著其路徑移動時跨越七個階段運行,以避免被典型的防病毒程序和系統防禦檢測到。
該公司在其報告中寫道:“惡意軟件很容易從合法應用程序的頂級谷歌搜索結果中找到的軟件中刪除。”
Softpedia 和 Uptodown 被發現是虛假應用程序的兩個主要來源。 Blockworks 已與 Google 取得聯繫,以了解有關它如何過濾此類威脅的更多信息。
下載應用程序後,安裝程序會執行延遲釋放程序,並在每次重新啟動時不斷自我更新。 第五天,延遲釋放器提取加密文件。
該文件隨後啟動 Nitrokod 的最後階段,該階段開始安排任務、清除日誌並在 15 天過去後向防病毒防火牆添加例外。
最後,加密挖掘惡意軟件“powermanager.exe”被偷偷地投放到受感染的機器上,並開始使用基於門羅幣的開源 CPU 礦工 XMRig(與 CoinHive 使用的相同)生成加密貨幣。
該公司在其報告中寫道:“在初始軟件安裝後,攻擊者將感染過程延遲了數週,並從原始安裝中刪除了痕跡。” “這使得該運動能夠在雷達下成功運作多年。”
有關如何清潔感染 Nitrokod 的機器的詳細信息,請訪問 CPR 威脅報告結束.
每天晚上將當天的頂級加密新聞和見解發送到您的收件箱。 訂閱 Blockworks 的免費通訊 。
來源:https://blockworks.co/monero-mining-malware-finds-success-at-top-of-google-search/