Μια ενεργή καμπάνια εξόρυξης κρυπτονομισμάτων που μιμείται το “Google Translate Desktop” και άλλο δωρεάν λογισμικό για τη μόλυνση των υπολογιστών ανακάλυψαν οι ερευνητές. Η καμπάνια έχει δημιουργηθεί από μια τουρκόφωνη οντότητα, που ονομάζεται Nitrokod και μετρά 111.000 λήψεις σε 11 χώρες από το 2019.
Σύμφωνα με τον Σύνδεσμο Επιχειρήσεων Πληροφορικής & Επικοινωνιών Ελλάδας (ΣΕΠΕ), η εκστρατεία λειτουργεί με επιτυχία κάτω από το ραντάρ εδώ και χρόνια. Θύματα έχουν καταγραφεί στο Ηνωμένο Βασίλειο, τις ΗΠΑ, τη Σρι Λάνκα, την Ελλάδα, το Ισραήλ, τη Γερμανία, την Τουρκία, την Κύπρο, την Αυστραλία, τη Μογγολία και την Πολωνία.
Σύμφωνα με την Check Point Research, η καμπάνια προωθεί κακόβουλο λογισμικό μέσω του δωρεάν software που είναι διαθέσιμο σε δημοφιλείς ιστότοπους, όπως το Softpedia και το uptodown. Το κακόβουλο λογισμικό λαμβάνεται από απομιμήσεις εφαρμογών που είναι δημοφιλείς, αλλά δεν έχουν πραγματικές εκδόσεις για επιτραπέζιους υπολογιστές, όπως το Google Translate.
Επίσης, μπορεί επίσης να μολύνει μια συσκευή εύκολα μέσω του Google όταν οι χρήστες κάνουν την αναζητούν “Google Translate Desktop download”. Μετά την αρχική εγκατάσταση λογισμικού, οι εισβολείς καθυστερούν τη διαδικασία μόλυνσης για εβδομάδες, διαγράφοντας ίχνη από την αρχική εγκατάσταση.
Πως δρουν οι εγκληματίες
Για να αποφευχθεί ο εντοπισμός, οι δημιουργοί της Nitrokod εφάρμοσαν ορισμένες βασικές στρατηγικές:
Το κακόβουλο λογισμικό εκτελείται για πρώτη φορά σχεδόν ένα μήνα μετά την εγκατάσταση του προγράμματος Nitrokod. Το κακόβουλο λογισμικό παραδίδεται μετά από 6 προηγούμενα στάδια μολυσμένων προγραμμάτων.
Η αλυσίδα μόλυνσης συνεχίζεται μετά από μεγάλη καθυστέρηση χρησιμοποιώντας έναν προγραμματισμένο μηχανισμό εργασιών, δίνοντας στους επιτιθέμενους χρόνο να καθαρίσουν όλα τα στοιχεία τους.
Η μόλυνση ξεκινά με την εγκατάσταση ενός μολυσμένου προγράμματος, που έχει ληφθεί από το web. Μόλις ο χρήστης εκκινήσει το νέο λογισμικό, εγκαθίσταται μια αντιγραφή του Google Translate.
Επιπλέον, ένα αρχείο ενημέρωσης αποθηκεύεται στον δίσκο, το οποίο ξεκινά μια σειρά τεσσάρων droppers μέχρι να εγκατασταθεί το πραγματικό κακόβουλο λογισμικό. Μετά την εκτέλεση του, το κακόβουλο λογισμικό συνδέεται με τον διακομιστή C&C (Command & Control) για να λάβει μια διαμόρφωση για το XMRig crypto miner και ξεκινά τη δραστηριότητα εξόρυξης.
“Ανακαλύψαμε έναν δημοφιλή ιστότοπο, που εξυπηρετεί κακόβουλες εκδόσεις μέσω απομιμήσεων εφαρμογών υπολογιστή, συμπεριλαμβανομένου του GoogleDesktop και άλλων, οι οποίες περιλαμβάνουν έναν εξόρυξη κρυπτονομισμάτων. Τα κακόβουλα εργαλεία μπορούν να χρησιμοποιηθούν από οποιονδήποτε. Μπορούν να βρεθούν με μια απλή αναζήτηση στον ιστό, να γίνει λήψη τους από ένα σύνδεσμο και να εγκατασταθούν με ένα απλό διπλό κλικ”, αναφέρει η Check Point.
CyberSafety Συμβουλές
Η εταιρεία απευθύνει τις ακόλουθες συμβουλές για την ασφάλεια στον κυβερνοχώρο:
“-Προσοχή σε domain που μοιάζουν πραγματικά, σε ορθογραφικά λάθη σε ιστότοπους και σε άγνωστους αποστολείς email.
-Κατεβάστε λογισμικά μόνο από εξουσιοδοτημένους, γνωστούς εκδότες και προμηθευτές.
-Αποτρέψτε τις επιθέσεις zero–day με μια ολιστική, endtoend αρχιτεκτονική στον κυβερνοχώρο.
-Βεβαιωθείτε ότι η ασφάλεια του τερματικού σας είναι ενημερωμένη και παρέχει ολοκληρωμένη προστασία”.