Recentemente, pesquisadores da empresa de segurança cibernética Check Point relataram sobre um malware de mineração de criptografia que infectou milhares de computadores em todo o mundo, chamado Nitrokod.
Este malware, projetado para minerar clandestinamente Monero (XMR), infecta equipamentos de informática em todo o mundo há anos. Na verdade, de acordo com o relatório publicado pelos investigadores da empresa de cibersegurança, Milhares de ataques foram registrados em 11 países.
Com uma campanha de malware dessa magnitude, Por que ninguém detectou isso até agora?
Cuidado com o malware Nitrokod!
A empresa de segurança cibernética Check Point Research detalha que o malware Nitrokod usa um mecanismo de evasão que lhe permitiu operar sob o radar das empresas de segurança durante anos.
A Check Point descreveu o ataque de malware Nitrokod como um “processo de infecção que durou semanas”, onde Infecção longa em 7 estágios é desencadeada e termina com malware de criptomineração, especialmente projetado para minerar Monero (XMR), que é a criptomoeda de privacidade líder no mercado.
O malware Nitrokod é executado pela primeira vez quase um mês após a instalação de um aplicativo infectado.
Este mecanismo de infecção deu aos criadores deste malware de criptomineração tempo suficiente para remover vestígios da instalação original do Nitrokod, sequestrando os recursos computacionais das suas vítimas para extrair XMR sem serem detectados.
Você pode ser infectado pelo Nitrokod do Google Translate, Youtube Music, entre outros
O malware Nitrokod, ativo desde 2019, foi criado por uma entidade de língua turca e, segundo Pesquisa da Check Point Research, pode ser encontrado no Google quando os usuários pesquisam aplicativos comuns como Google Translate e Youtube Music.
No entanto, um ponto a ter em mente é que os computadores que foram infectados com o malware Nitrokod baixei software popular que não possui uma versão oficial para desktop, sendo a pesquisa mais popular na Web a aplicação desktop do «Download do Google Tradutor para desktop»; uma versão falsa do Google Translate, já que não existe uma versão oficial para desktop.
A Check Point explica que a maioria desses aplicativos e programas, infectados com o malware Nitrokod, são construídos a partir de sites oficiais usando uma estrutura baseada em Chromium (Electron ou CEF).
Estágios do malware Nitrokod e cadeia de infecção
A primeira etapa de infecção O malware Nitrokod começa baixando um programa infectado, como o “Google Translate Desktop download”. Segue-se então a etapa de instalação, em que o instalador do malware envia uma mensagem Pós-instalação ao domínio Nitrokod com informações sobre o computador infectado.
A cadeia de infecção do Nitrokod continua com um terceiro estágio onde um Conta-gotas atrasado; um programa malicioso que permite ocultar malware para que seja instalado no computador sem que um antivírus seja capaz de detectá-lo. Essa etapa, segundo a Check Point, pode durar semanas.
Na quarta etapa, o malware Nitrokod criar e agendar uma série de tarefas e, em seguida, limpa todos os logs do sistema, ocultando o rastro dos dois últimos estágios do malware. Neste ponto, explica a Check Point, os primeiros estágios da cadeia de infecção do malware Nitrokod são separados dos seguintes, tornando ainda mais difícil rastrear o malware e os aplicativos infectados.
A quinta fase da infecção chega após a conclusão das tarefas previamente agendadas. Nesta fase, o malware realiza diversas Testes de máquina virtual e verifique se o computador infectado possui programas de firewall (Firewall) instalados ou Windows Defender, um antispyware projetado para complementar as funções de um antivírus e detectar todos os tipos de malware.
Se o computador infectado tiver proteções, o malware adiciona uma regra de firewall para permitir conexões de rede de entrada para um programa que será removido na próxima etapa, chamado nniawsoykfo.exe, explicou a empresa de segurança cibernética.
Na sexta etapa, conta-gotas mineiro, o malware executa três arquivos, “Powermanager.exe”, “nniawsoykfo.exe” e “WinRing0.sys”, focados na mineração do Monero. A sétima e última etapa, Malware de criptografia, executa o malware de criptografia Nitrokod.
O programa malicioso se conecta ao seu servidor e aciona uma série de instruções para controlar o malware e o minerador XRM.
Recomendações de Segurança
Como informamos no Bit2Me News, o malware se tornou uma ferramenta difundida na indústria de criptomoedas. Muitos atores maliciosos usam esses tipos de programas para roubar criptomoedas ou, neste caso, sequestrar os recursos computacionais de um computador para minerar criptomoedas clandestinamente.
Dado o risco, o mais aconselhável é evite baixar aplicativos e programas de sites não oficiais e fique longe de links que levem a páginas e sites de origem duvidosa ou que sejam suspeitos.
Conforme indicou a empresa de cibersegurança, não existe uma versão oficial para desktop do Google Translate, por isso é aconselhável investigar os recursos oficiais que as empresas criaram antes de baixar um aplicativo.
Por fim, é aconselhável manter sempre atualizadas suas soluções antivírus, firewall e segurança para se proteger de qualquer ameaça de malware.
Continue lendo: Hacker perde 5 ETH em ataque fracassado à Rainbow Bridge
