Check Point Research (CPR), ein in Israel ansässiges Informationsunternehmen für Cyber-Bedrohungen, hat eine bösartige Crypto-Mining-Malware-Kampagne mit dem Namen Nitrokod als Täter hinter der Infektion von Tausenden von Computern in 11 Ländern entlarvt Ein am Sonntag veröffentlichter Bericht.
Crypto-Miner-Malware, auch bekannt als Cryptojacker, ist eine Art von Malware, die die Rechenleistung infizierter PCs ausnutzt, um Kryptowährung zu schürfen.
Nitrokod hat sich auf Websites als Google Translate Desktop und andere kostenlose Software ausgegeben, um Crypto-Miner-Malware zu starten und PCs zu infizieren. Wenn ahnungslose Benutzer nach „Download von Google Translate Desktop“ suchen, erscheint der schädliche Link zu der mit Malware infizierten Software ganz oben in den Google-Suchergebnissen.
Seit 2019 arbeitet die Malware mit einem mehrstufigen Infektionsprozess, der damit beginnt, dass der Infektionsprozess erst einige Wochen nach dem Herunterladen des bösartigen Links durch die Benutzer verzögert wird. Sie entfernen auch Spuren der ursprünglichen Installation und schützen die Malware vor der Erkennung durch Antivirenprogramme.
„Sobald der Benutzer die neue Software startet, wird eine tatsächliche Google Translate-Anwendung installiert“, heißt es in dem CPR-Bericht. Hier treffen Opfer auf realistisch aussehende Programme mit einem Chromium-basierten Framework, das den Benutzer von der Google Translate-Webseite weiterleitet und ihn dazu verleitet, die gefälschte Anwendung herunterzuladen.
In der nächsten Phase plant die Malware Aufgaben zum Löschen von Protokollen, um zugehörige Dateien und Beweise zu entfernen, und die nächste Phase der Infektionskette wird nach 15 Tagen fortgesetzt. Ein mehrstufiger Ansatz hilft der Malware, nicht in einer von Sicherheitsforschern eingerichteten Sandbox entdeckt zu werden.
„Außerdem wird eine aktualisierte Datei abgelegt, die eine Reihe von vier Droppern bis zum Start startet präsentieren Malware wird gelöscht“, fügte der CPR-Bericht hinzu.
Mit anderen Worten, die Malware startet eine Monero (XMR)-Krypto-Mining-Operation, bei der die Malware „powermanager.exe“ heimlich auf den infizierten Computern abgelegt wird, indem sie sich mit ihrem Command-and-Control-Server verbindet, der es Cyberkriminellen ermöglicht, Benutzer der Desktop-App von Google Translate zu monetarisieren .
Monero ist die bekannteste Kryptowährung für Kryptojacker und andere illegale Transaktionen. Die Kryptowährung bietet ihren Inhabern nahezu Anonymität.
Es ist leicht, Opfer von Crypto-Miner-Malware zu werden, da sie von Software gelöscht werden, die oben in den Google-Suchergebnissen für legitimierte Anwendungen zu finden ist. Wenn Sie vermuten, dass Ihr PC infiziert ist, finden Sie hier Details zur Wiederherstellung Ihres infizierten Computers finden Sie am Ende des CPR-Berichts.
Quelle: https://cryptoslate.com/crypto-miner-malware-impersonates-google-translate-desktop-other-legitimate-apps/