La firma de inteligencia de amenazas cibernéticas con sede en Israel, Check Point Research (CPR) desenmascaró una campaña maliciosa de malware de criptominería denominada Nitrokod como el perpetrador detrás de la infección de miles de máquinas en 11 países en un informe publicado el domingo.
El malware criptominero, también conocido como cryptojackers, es un tipo de malware que explota el poder de cómputo de las PC infectadas para extraer criptomonedas.
Nitrokod ha estado haciéndose pasar por Google Translate Desktop y otro software gratuito en sitios web para lanzar malware criptográfico e infectar PC. Cuando los usuarios desprevenidos buscan "descarga de Google Translate Desktop", el enlace malicioso al software infectado con malware aparece en la parte superior de los resultados de búsqueda de Google.
Desde 2019, el malware ha estado operando con un proceso de infección de varias etapas, comenzando por retrasar la contaminación del proceso de infección hasta unas semanas después de que los usuarios descarguen el enlace malicioso. También eliminan los rastros de la instalación original, evitando que el malware sea detectado por los programas antivirus.
“Una vez que el usuario inicia el nuevo software, se instala una aplicación real de Google Translate”, decía el informe de CPR. Aquí es donde las víctimas encuentran programas de aspecto realista con un marco basado en Chromium que dirige al usuario desde la página web de Google Translate y lo engaña para que descargue la aplicación falsa.
En la siguiente etapa, el malware programa tareas para borrar registros y eliminar archivos y pruebas relacionados, y la siguiente etapa de la cadena de infección continuará después de 15 días.
“Además, se suelta un archivo actualizado, que inicia una serie de cuatro droppers hasta que el real se elimina el malware”, agregó el informe de CPR.
En otras palabras, el malware inicia una operación de minería criptográfica de Monero (XMR) mediante la cual el malware "powermanager.exe" se introduce sigilosamente en las máquinas infectadas al conectarse a su servidor de comando y control que permite a los ciberdelincuentes monetizar a los usuarios de la aplicación de escritorio de Google Translate. .
Monero es la criptomoneda más conocida por los criptojackers y otras transacciones ilícitas. La criptomoneda ofrece casi anonimato para sus titulares.
Es fácil ser víctima del malware de minería criptográfica, ya que se eliminan del software que se encuentra en la parte superior de los resultados de búsqueda de Google para aplicaciones legítimas. Si sospecha que su PC está infectada, los detalles sobre cómo recuperar su máquina infectada pueden se encuentra al final del informe de CPR.
Fuente: https://cryptoslate.com/crypto-miner-malware-impersonates-google-translate-desktop-other-legitimate-apps/