Una campagna di criptomining utilizza Google Translate

Check Point Research (CPR), la divisione di Threat Intelligence di Check Point® Software Technologies Ltd. (NASDAQ: CHKP), il principale fornitore di soluzioni di cybersecurity a livello globale, ha scoperto una campagna attiva di criptomining che riproduce “Google Translate Desktop” e altri software gratuiti con lo scopo di infettare i PC. Creata da Nitrokod, un’entità di lingua turca, la campagna conta 111.000 download in 11 Paesi, dal 2019. Gli aggressori ritardano il processo di infezione per settimane così dasfuggire alla detection. Possono facilmente scegliere di alterare il malware, trasformandolo da criptominera ransomware o banking trojan, ad esempio. La campagna distribuisce il malware dal software gratuito disponibile su siti web come Softpedia e Uptodown. Inoltre, il software malevolo può essere facilmente trovato tramite Google quando gli utenti cercano “Google Translate Desktop download”. Dopo l’installazione iniziale del software, gli aggressori ritardano il processo di infezione per settimane, eliminando le tracce dell’installazione originale.Per anni la campagna ha operato con successo senza essere scoperta. Per evitare il rilevamento, gli autori di Nitrokod hanno implementato alcune strategie chiave: Il malware viene eseguito per la prima volta quasi un mese dopo l’installazione del programma Nitrokod Il malware viene consegnato dopo 6 fasi precedenti dei programmi infetti La catena di infezione continua dopo un lungo ritardo utilizzando un meccanismo di attività pianificate, dando agli aggressori il tempo di cancellare tutte le prove. Dopo l’esecuzione, il malware si connette al server C&C (Command & Control) per ottenere una configurazione per il crypto miner XMRig e avvia l’attività di mining