Google Translate veya MP3 indirici programları olarak gizlenmiş yeni bir kötü amaçlı yazılım kampanyası, 11 ülkede kripto para birimi madencilik kötü amaçlı yazılım dağıttı.
Sahte uygulamalar, hem sitelerin hem de arama motorlarının düzenli ziyaretçilerine kötü amaçlı uygulamalara geniş bir şekilde maruz kalma sağlayarak meşru ücretsiz yazılım siteleri aracılığıyla dağıtılmaktadır.
Check Point tarafından yapılan bir rapora göre, kötü amaçlı yazılım 'Nitrokod' adlı bir geliştirici tarafından oluşturulur, bu da ilk kez kötü amaçlı yazılımdan temiz gibi görünen ve reklamı yapılan işlevselliği sağlar.
Ancak Check Point, yazılımın, tespit edilmesinden kaçınmak için kötü amaçlı kötü amaçlı yazılım bileşenlerinin bir aya kadar kurulumunu bilerek geciktirdiğini söylüyor.
Ne yazık ki, Nitrokod'un teklifleri Google arama sonuçlarında yüksek sırada yer alıyor, bu nedenle web sitesi belirli bir yardımcı program arayan kullanıcılar için mükemmel bir tuzak görevi görüyor.
BleepingComputer, listelenen iletişim adresinde Nitrokod'un yöneticisine başvurdu, ancak henüz onlardan bir yorum almadık.
Ayrıca, Check Point'in keşfedildiği gibi, Nitrokod'un Google Translate uygulaması da Softpedia'ya 112.000'den fazla indirmeye ulaştı.
Bağımsız olarak hangi programın Nitrokod web sitesinden indirildiği, kullanıcı AV algılamasından kaçan ve seçilen uygulamadan adlandırılan bir yürütülebilir dosyayı içeren şifre korumalı bir RAR alır.
Dosyayı çalıştırdıktan sonra, yazılım kullanıcının sistemine iki kayıt defteri anahtarı ile yüklenir:
Şüpheleri yükseltmek ve sanal alan analizini engellemek için yazılım, enfeksiyonun beşinci gününde WGY yoluyla getirilen başka bir şifreli RAR dosyasından bir damlalık etkinleştirir.
Daha sonra, yazılım PowerShell komutlarını kullanarak tüm sistem günlüklerini temizler ve 15 gün sonra bir sonraki şifreli rar'ı “IntelServiceUpdate [.] Com” dan alırken getirir.
Sonraki aşama damlalık, antivirüs yazılımının varlığını kontrol eder, sanal makinelere ait olabilecek işlemleri arar ve sonunda bir güvenlik duvarı kuralı ve Windows Defender'a bir dışlama ekler.
Cihaz son yük için hazırlandığına göre, program XMRIG madenciliği kötü amaçlı yazılımını, denetleyicisini ve ayarlarına sahip bir ".sys" dosyasını içeren başka bir RAR dosyasını getiren son damlalık yüklüyor.
Kötü amaçlı yazılım, bir masaüstünde veya dizüstü bilgisayarda çalışıp çalışmadığını, ardından C2'ye ("NVIDIACENTER [.] COM") bağlanıp bağlanmadığını belirler ve HTTP Post istekleri aracılığıyla tam bir ana bilgisayar sistem raporu gönderir.
Son olarak, C2, etkinleştirilip etkinleştirilmeyeceği, ne kadar CPU gücünün kullanılacağı, C2'yi ne zaman tekrar ping yapacağı veya hangi programların bulunacağı ve bulunması gibi talimatlarla yanıt verir.
Kripto madenciliği kötü amaçlı yazılım, donanım stresine ve aşırı ısınmaya neden olarak donanıma zarar verebileceği ve ek CPU kaynakları kullanarak bilgisayarınızın performansını etkileyebileceği için bir risk olabilir.
Ayrıca, Check Point tarafından keşfedilen kötü amaçlı yazılım damlaları, son yükü her zaman çok daha tehlikeli bir şeyle değiştirebilir.
Kendinizi korumak için, Google Translate aracının masaüstü sürümü gibi orijinal geliştirici tarafından resmi olarak yayınlanmayan işlevselliği vaat eden uygulamaları indirmekten kaçının.
Hackerlar James Webb Teleskop görüntülerinde kötü amaçlı yazılımları gizle
Info-Renting kötü amaçlı yazılımları zorlamak için kullanılan sahte 'Cthulhu World' P2E projesi
Google Play'de bulunan 2 milyon yüklemeli Android kötü amaçlı yazılım uygulamaları
Sahte Chrome Uzantısı 'İnternet İndir Manager' 200.000 kurulum var
Korsan 3Dmark Benchmark Aracı Info-Stealer kötü amaçlı yazılım sunan
Kaynak: Bleeping Computer