Zaszyte szkodliwe oprogramowanie wykorzystywało moce obliczeniowe komputerów do wydobywania kryptowalut, jednak eksperci uważają, że w łatwy sposób może zostać podmienione na trojany bankowe lub ransomware.
Kampanię hakerską, która wykorzystywała moce obliczeniowe komputerów ofiar odkryli analitycy bezpieczeństwa cybernetycznego z Check Point Research. Wykorzystywała ona nieoficjalną desktopową wersję Tłumacza Google oraz kilka innych darmowych programów komputerowych. Ich autorami jest turecka firma Nitrokod, która od 2019 roku zainfekowała 111 tys. komputerów w 11 krajach, w tym w Polsce.
Jak działa malware?
Kampania instaluje malware z bezpłatnego oprogramowania dostępnego na popularnych stronach internetowych, takich jak Softpedia i uptodown. Złośliwe oprogramowanie można również łatwo znaleźć za pośrednictwem Google, gdy użytkownicy wpiszą frazę „Pobierz Tłumacz Google na komputer”. Po początkowej instalacji oprogramowania osoby atakujące opóźniają proces infekcji tygodniami, usuwając ślady pierwotnej instalacji.
Kampania od lat z powodzeniem działała unikając wykrycia. Autorzy w tym celu wdrożyli kilka kluczowych strategii: Złośliwe oprogramowanie jest uruchamiane po raz pierwszy prawie miesiąc po zainstalowaniu programu Nitrokod. Złośliwe oprogramowanie jest dostarczane po przejściu 6 wcześniejszych etapów. Łańcuch infekcji jest kontynuowany z dużym opóźnieniem przy użyciu mechanizmu zaplanowanego zadania, dając atakującym czas na usunięcie wszystkich dowodów.