adlı Türkçe konuşan bir varlık nitrokod 2019’dan bu yana 11 ülkede 111.000’den fazla kurbanı enfekte etmek için Google Translate için bir masaüstü uygulamasının kimliğine bürünmeyi içeren aktif bir kripto para madenciliği kampanyasına atfedildi.
Check Point araştırma başkan yardımcısı Maya Horowitz, The Hacker News ile paylaşılan bir açıklamada, “Kötü amaçlı araçlar herkes tarafından kullanılabilir” dedi. “Basit bir web aramasıyla bulunabilirler, bir bağlantıdan indirilebilirler ve kurulum basit bir çift tıklamadır.”
Kurbanların olduğu ülkeler arasında İngiltere, ABD, Sri Lanka, Yunanistan, İsrail, Almanya, Türkiye, Kıbrıs, Avustralya, Moğolistan ve Polonya yer alıyor.
Kampanya, Softpedia ve Uptodown gibi popüler sitelerde barındırılan ücretsiz yazılımlar aracılığıyla kötü amaçlı yazılımların sunulmasını içeriyor. Ancak ilginç bir taktikle, kötü amaçlı yazılım yürütmeyi haftalarca erteler ve algılanmamak için kötü amaçlı etkinliğini indirilen sahte yazılımdan ayırır.
Virüs bulaşmış programın kurulumunu, diske yürütülebilir bir güncellemenin dağıtımı takip eder ve bu da, gerçek kötü amaçlı yazılım yedinci aşamada bırakılana kadar her bir damlalık bir sonrakini hazırlayan dört aşamalı bir saldırı dizisini başlatır. .
Kötü amaçlı yazılımın yürütülmesi üzerine, madeni para madenciliği etkinliğini başlatmak için bir yapılandırma dosyası almak üzere uzak bir komuta ve kontrol (C2) sunucusuna bağlantı kurulur.
Nitrokod kampanyasının dikkate değer bir yönü, ücretsiz olarak sunulan sahte yazılımın Yandex Translate, Microsoft Translate, YouTube Music, MP3 Download Manager ve Pc Auto Shutdown gibi resmi masaüstü sürümü olmayan hizmetler için olmasıdır.
Ayrıca, kötü amaçlı yazılım, ilk bulaşmadan neredeyse bir ay sonra, adli iz silindiğinde düşer ve bu da saldırıyı ortadan kaldırmayı ve yükleyiciye kadar izini sürmeyi zorlaştırır.
Horowitz, “Benim için en ilginç olan, kötü amaçlı yazılımın bu kadar popüler olması, ancak bu kadar uzun süre radarın altında kalmasıdır.” Dedi. “Saldırgan, saldırının son yükünü kolayca değiştirmeyi, onu bir kripto madencisinden fidye yazılımına veya bankacılık truva atına dönüştürmeyi seçebilir.”