Una campagna di criptomining attiva dal 2019 utilizza Google Translate Desktop e conta oltre 111mila download in almeno 11 Paesi.

Check Point Research ha scoperto una campagna attiva di criptomining che riproduce “Google Translate Desktop” e altri software gratuiti con lo scopo di infettare i PC. Creata da Nitrokod, un’entità di lingua turca, la campagna conta 111.000 download in 11 Paesi, dal 2019. Gli aggressori ritardano il processo di infezione per settimane così da sfuggire alla detection. Possono facilmente scegliere di alterare il malware, trasformandolo da criptominer a ransomware o banking trojan, ad esempio.

La campagna distribuisce il malware dal software gratuito disponibile su siti web come Softpedia e Uptodown. Inoltre, il software malevolo può essere facilmente trovato tramite Google quando gli utenti cercano “Gcyber oogle Translate Desktop download”. Dopo l’installazione iniziale del software, gli aggressori ritardano il processo di infezione per settimane, eliminando le tracce dell’installazione originale.

Non rilevata per anni

Per anni la campagna ha operato con successo senza essere scoperta. Per evitare il rilevamento, gli autori di Nitrokod hanno implementato alcune strategie chiave:

  • Il malware viene eseguito per la prima volta quasi un mese dopo l’installazione del programma Nitrokod
  • Il malware viene consegnato dopo 6 fasi precedenti dei programmi infetti
  • La catena di infezione continua dopo un lungo ritardo utilizzando un meccanismo di attività pianificate, dando agli aggressori il tempo di cancellare tutte le prove

Catena dell’infezione

  1. Tutto inizia con l’installazione di un programma infetto scaricato dal Web
  2. Una volta che l’utente avvia il nuovo software, viene installata un’app che imita di Google Translate. Inoltre, viene scaricato su disco un file di aggiornamento che avvia una serie di quattro dropper fino alla caduta del malware vero e proprio
  3. Dopo l’esecuzione, il malware si connette al server C&C (Command & Control) per ottenere una configurazione per il crypto miner XMRig e avvia l’attività di mining

Elenco dei Paesi vittime

  • Regno Unito
  • Stati Uniti
  • Sri Lanka
  • Grecia
  • Israele
  • Germania
  • Turchia
  • Cipro
  • Australia
  • Mongolia
  • Polonia

Consigli per la sicurezza informatica

  • Attenzione ai domini lookalike, agli errori di ortografia nei siti web e ai mittenti di e-mail sconosciuti
  • Scaricare software solo da fonti autorizzate e affidabili
  • Prevenire gli attacchi zero-day con una struttura informatica completa ed end-to-end
  • Assicurarsi che la sicurezza degli endpoint sia aggiornata e fornisca una protezione completa
Articolo precedenteSeagate annuncia la collezione HDD FireCuda Spider-Man
Articolo successivoWhatsapp beta permette di fare chiamate vocali su Wear OS 3
Francesco Palmieri
Francesco Palmieri
https://www.ceotech.it
Blogger & Social Media Manager
Facebook Instagram Linkedin Twitter

ARTICOLI CORRELATIALTRO DALL'AUTORE