Στα τέλη του περασμένου μήνα, ερευνητές της Check Point εντόπισαν μια εκστρατεία crypto-mining, που ονομάζεται Nitrokod και η οποία πιθανότατα έχει μολύνει χιλιάδες μηχανήματα σε πολλές χώρες. Στον πυρήνα της καμπάνιας υπάρχουν πολλά χρήσιμα βοηθητικά προγράμματα. Σύμφωνα με τους ερευνητές, η εκστρατεία δημιουργήθηκε από μια τουρκόφωνη οντότητα και εγκαθιστά malware από δωρεάν λογισμικό που διατίθεται σε δημοφιλείς ιστότοπους όπως το Softpedia και το uptodown. Το λογισμικό, που κρύβει crypto-mining ιδιότητες μπορεί επίσης να βρεθεί εύκολα μέσω του Google όταν οι χρήστες αναζητούν “Google Translate Desktop download”.
Ενώ οι εφαρμογές διαθέτουν “100 CLEAN” banners σε κάποιο ιστότοπο, είναι στην πραγματικότητα Trojanized και καθυστερούν σκόπιμα την εγκατάσταση των κακόβουλων στοιχείων τους για έως και ένα μήνα για να μην εντοπιστεί η ιδιότητα crypto-mining.
Δείτε επίσης: Υποκλοπές Ελλάδα: Ερευνητές αποκαλύπτουν μαζικές παρακολουθήσεις σε τηλεπικοινωνιακούς παρόχους!
Μετά την αρχική εγκατάσταση λογισμικού, οι εισβολείς καθυστέρησαν τη διαδικασία μόλυνσης για εβδομάδες και διέγραψαν ίχνη από την αρχική εγκατάσταση. Αυτό επέτρεψε στην εκστρατεία να λειτουργήσει με επιτυχία κάτω από το ραντάρ για χρόνια.
Ανακαλύψτε τον Μικροσκοπικό Εξωπλανήτη κοντά στο Άστρο του Μπαρναρντ
Το ρομπότ AV1 βοηθά άρρωστα παιδιά να μην χάνουν μαθήματα
Τυφώνας Milton: Αναβάλλεται η εκτόξευση του Europa Clipper
Nitrokod
Η Nitrokod είναι μια τουρκόφωνη εταιρεία ανάπτυξης λογισμικού που ισχυρίζεται ότι προσφέρει δωρεάν και ασφαλές λογισμικό.
Τα περισσότερα από τα προγράμματα που προσφέρει η Nitrokod είναι δημοφιλή λογισμικά που δεν έχουν επίσημη έκδοση για υπολογιστές. Για παράδειγμα, το πιο δημοφιλές πρόγραμμα Nitrokod είναι η εφαρμογή Google Translate για desktop. Η Google δεν έχει κυκλοφορήσει επίσημη desktop έκδοση, καθιστώντας την εφαρμογή της Nitrokod πολύ ελκυστική.
Οι ερευνητές παρατήρησαν ότι οι προσφορές της Nitrokod κατατάσσονται ψηλά στα αποτελέσματα της Αναζήτησης της Google, επομένως ο ιστότοπος λειτουργεί ως εξαιρετική παγίδα για τους χρήστες που αναζητούν τα παραπάνω προγράμματα.
Επιπλέον, όπως ανακάλυψε η Check Point, το κακόβουλο Google Translate applet του Nitrokod ανέβηκε επίσης στο Softpedia, όπου έφτασε τις 112.000 λήψεις.
Δείτε επίσης: Windows 11: Ποιες ρυθμίσεις να αλλάξετε για να ενισχύσετε το απόρρητο;
Για να αποφευχθεί ο εντοπισμός, οι δημιουργοί της Nitrokod διαχωρίζουν την κακόβουλη δραστηριότητα από το πρόγραμμα Nitrokod που είχε αρχικά ληφθεί:
- Το κακόβουλο λογισμικό εκτελείται για πρώτη φορά σχεδόν ένα μήνα μετά την εγκατάσταση του προγράμματος Nitrokod.
- Το κακόβουλο λογισμικό παραδίδεται μετά από 6 στάδια μολυσμένων προγραμμάτων.
- Η αλυσίδα μόλυνσης συνεχίστηκε μετά από μεγάλη καθυστέρηση χρησιμοποιώντας έναν προγραμματισμένο μηχανισμό εργασιών, δίνοντας στους επιτιθέμενους χρόνο να καθαρίσουν τα στοιχεία.
Αλυσίδα μόλυνσης
Στο πρώτο στάδιο γίνεται λήψη του trojanised προγράμματος από τον ιστότοπο του Nitrokod (π.χ. Google Translate Desktop). Ανεξάρτητα από το πρόγραμμα που γίνεται λήψη, ο χρήστης λαμβάνει ένα RAR προστατευμένο με κωδικό πρόσβασης που αποφεύγει την ανίχνευση AV και περιέχει ένα εκτελέσιμο αρχείο με το όνομα της επιλεγμένης εφαρμογής.
Κατά την εκτέλεση του αρχείου, το λογισμικό εγκαθίσταται στο σύστημα του χρήστη μαζί με δύο registry keys. Για να μην κινήσει υποψίες και για να αποτραπεί η ανάλυση sandbox, το λογισμικό ενεργοποιεί ένα dropper από ένα άλλο κρυπτογραφημένο αρχείο RAR που ανακτήθηκε μέσω Wget την πέμπτη ημέρα της μόλυνσης.
Δείτε επίσης: Interworks cloud: Κυβερνοεπίθεση στον cloud πάροχο; [updated]
Στη συνέχεια, το λογισμικό διαγράφει όλα τα system logs χρησιμοποιώντας εντολές PowerShell και, μετά από άλλες 15 ημέρες, ανακτά το επόμενο κρυπτογραφημένο RAR από το “intelserviceupdate[.]com”.
Το dropper του επόμενου σταδίου ελέγχει για παρουσία λογισμικού προστασίας από ιούς, αναζητά διεργασίες που μπορεί να ανήκουν σε εικονικές μηχανές και, τελικά, προσθέτει ένα firewall rule και ένα exclusion στο Windows Defender.
Μετά από όλη αυτή τη διαδικασία, η συσκευή είναι έτοιμη για το τελικό malware payload. Το πρόγραμμα φορτώνει το τελευταίο dropper, το οποίο ανακτά ένα άλλο αρχείο RAR που περιέχει το crypto-mining λογισμικό XMRig, το controller του και ένα αρχείο “.sys” που έχει τις ρυθμίσεις του.
Το crypto-mining λογισμικό καθορίζει εάν εκτελείται σε επιτραπέζιο ή φορητό υπολογιστή, στη συνέχεια συνδέεται στο C2 του (“nvidiacenter[.]com”) και στέλνει μια πλήρη αναφορά συστήματος μέσω HTTP POST requests.
Τέλος, το C2 ανταποκρίνεται με οδηγίες, όπως εάν πρέπει να ενεργοποιηθεί, πόση ισχύς CPU θα χρησιμοποιηθεί, πότε να γίνει ξανά ping στο C2 ή ποια προγράμματα να ελέγξει.
Περισσότερες λεπτομέρειες μπορείτε να βρείτε στην έκθεση της Check Point.
Προστασία
Η μόλυνση με ένα crypto-mining λογισμικό μπορεί να δημιουργήσει πολλά προβλήματα. Επιπλέον, τα malware droppers που ανακαλύφθηκαν από την Check Point μπορούν να ανταλλάξουν το τελικό payload με κάτι πολύ πιο επικίνδυνο, ανά πάσα στιγμή.
Επομένως, για να προστατευτείτε, πρέπει να αποφεύγετε τη λήψη εφαρμογών που δεν έχουν κυκλοφορήσει επίσημα από τον αρχικό προγραμματιστή, όπως μια desktop version του Google Translate.
Πηγή: www.bleepingcomputer.com