Check Point Research (CPR) обнаружила ранее неизвестную специалистам кампанию криптомайнинга под названием Nitrokod, которая потенциально заразила тысячи машин по всему миру.
В основе компании, запущенной турецкоязычными хакерами, лежит заброс вредоносного ПО через широко известные бесплатные утилиты, доступные для скачивания на таких популярных площадках как Softpedia и Uptodown. Кроме того, ПО от Nitrokod легко обнаружить в поисковой системе Google по запросам вроде “Google Translate Desktop download”.
Несмотря на то, что сама компания “Nitrokod” заявляет, что разрабатывает безопасное ПО, а её программы даже внесены в топ «чистых» приложений на некоторых площадках, исследователи из Check Point уличили её в нечестной игре. На самом деле продукты Nitrokod содержат троянские программы с отложенным механизмом активации и многоступенчатой схемой заражения, приводящей в итоге к установке на компьютер пользователя вредоносной программы для скрытого майнинга криптовалюты.
Шестиступенчатая схема заражения, на начальном этапе которой на компьютер пользователя устанавливалось ПО, добросовестно выполнявшее требуемые функции, сделала обнаружение последнего звена цепи – программы-криптомайнера, чрезвычайно непростым. Сложность, а также задержка запуска следующего этапа заражения иногда на целые недели и последовательное удаление следов, позволили этой компании оставаться нераскрытой, предположительно, в течение нескольких лет. Массовость же заражения обеспечил тот факт, что в качестве «приманки» использовались популярные веб-приложения, не имеющие официальной десктопной версии. Помимо копии переводчика от Google, в число самых скачиваемых продуктов от Nitrokod вошли также Yandex Translate Desktop, Mp3 Download Manager, Pc Auto Shutdown и другие.
По подсчетам исследователей, майнер уже заразил машины в 11 странах мира, включая Великобританию, США, Шри-Ланку, Грецию, Израиль, Германию, Турцию, Кипр, Австралию, Монголию и Польшу. Только с Softpedia приложение Nitrokod Google Translate было загружено более 112 000 раз, общее же количество скачиваний всех продуктов Nitrokod сложно даже оценить.
Эксперты отмечают, что механизм реализации этой компании позволяет легко заменить конечное звено-криптомайнер на другое вредоносное ПО, например, программу-вымогатель или банковский троян. Самый же надежный способ избежать заражения по описанной схеме – пользоваться только теми версиями программ, что предлагают их официальные разработчики.
С заботой о вашей безопасности, команда Origin Security
