Новое исследование показало, что вредоносное ПО для майнинга криптовалют незаметно вторгается в сотни тысяч компьютеров по всему миру с 2019 года, часто маскируясь под законные программы, такие как Google Translate.
В отчете от 29 августа Check Point Research (CPR), исследовательской группы для американо-израильского поставщика кибербезопасности Check Point Software Technologies, вредоносное ПО годами оставалось незамеченным, отчасти благодаря его коварному дизайну, который задерживает установку вируса. вредоносное ПО для майнинга криптовалют в течение нескольких недель после первоначальной загрузки программного обеспечения.
.@_CPResearch_ обнаружил кампанию #cryptominer #malware, которая потенциально заразила тысячи машин по всему миру. Атака, получившая название Nitrokod, была первоначально обнаружена Check Point XDR. Узнайте подробности здесь: #cryptocurrecy #TechnologyNews #CyberSec pic.twitter.com/ANoeI7FZ1O
— Программное обеспечение Check Point (@CheckPointSW) 29 августа 2022 г.
Связанная с турецкоязычным разработчиком программного обеспечения, утверждающим, что предлагает «бесплатное и безопасное программное обеспечение», вредоносная программа проникает на ПК через поддельные настольные версии популярных приложений, таких как YouTube Music, Google Translate и Microsoft Translate.
Как только механизм запланированных задач запускает процесс установки вредоносного ПО, он постоянно проходит несколько этапов в течение нескольких дней, заканчиваясь настройкой скрытой операции по добыче криптовалюты Monero (XMR).
Фирма по кибербезопасности заявила, что турецкий крипто-майнер, получивший название Nitrokod, заразил компьютеры в 11 странах.
Согласно CPR, популярные сайты загрузки программного обеспечения, такие как Softpedia и Uptodown, имели подделки, доступные под названием издателя «Nitrokod INC».
Некоторые из программ были загружены сотни тысяч раз, например, фальшивая настольная версия Google Translate на Softpedia, которая даже получила почти тысячу отзывов со средней оценкой 9,3 звезды из десяти, несмотря на то, что у Google нет официального рабочего стола. версии для этой программы.
Скриншот предполагаемого поддельного приложения, сделанный Check Point Research.
Согласно Check Point Software Technologies, ключевой частью мошенничества является предложение версии приложений для настольных компьютеров.
Большинство программ, предлагаемых Nitrokod, не имеют настольной версии, что делает поддельное программное обеспечение привлекательным для пользователей, которые думают, что нашли программу, недоступную где-либо еще.
По словам Майи Горовиц, вице-президента по исследованиям Check Point Software, подделки, содержащие вредоносное ПО, также доступны «через простой веб-поиск».
«Что меня больше всего интересует, так это то, что вредоносное программное обеспечение так популярно, но так долго оставалось незамеченным».
На момент написания статьи программа Nitrokod, имитирующая Google Translate Desktop, остается одним из основных результатов поиска.
Дизайн помогает избежать обнаружения
Вредоносное ПО особенно сложно обнаружить, так как даже когда пользователь запускает фиктивное программное обеспечение, он остается неразумным, поскольку поддельные приложения также могут имитировать те же функции, что и легитимное приложение.
Большинство хакерских программ легко создаются из официальных веб-страниц с использованием фреймворка на основе Chromium, что позволяет им распространять функциональные программы, загруженные вредоносными программами, не разрабатывая их с нуля.
Связанный: 8 подлых крипто-мошенников в Твиттере прямо сейчас
На сегодняшний день более ста тысяч человек в Израиле, Германии, Великобритании, Америке, Шри-Ланке, Кипре, Австралии, Греции, Турции, Монголии и Польше стали жертвами вредоносного ПО.
Чтобы избежать мошенничества с помощью этого вредоносного ПО и ему подобных, Горовиц говорит, что несколько основных советов по безопасности могут помочь снизить риск.
«Остерегайтесь похожих доменов, орфографических ошибок на веб-сайтах и незнакомых отправителей электронной почты. Загружайте программное обеспечение только от авторизованных, известных издателей или поставщиков и убедитесь, что безопасность вашей конечной точки обновлена и обеспечивает всестороннюю защиту».
Источник: Сointеlеgrаph