Google Translate utilizado para infetar utilizadores com software de mineração de criptomoedas

A Check Point Research, á descobriu uma campanha de mineração de moedas criptográficas imitando o “Google Translate Desktop” e outro software gratuito para infectar PCs.

Criada por uma entidade de língua turca chamada Nitrokod, a campanha conta com 111.000 downloads em 11 países desde 2019.

Google translate usado para esquema com software de mineração de criptomoedas

A campanha coloca o malware em softwares gratuitos disponíveis em websites populares como o Softpedia e o uptodown. E, os softwares maliciosos também podem ser facilmente encontrados através do Google quando os utilizadores procuram “Google Translate Desktop download”.

Após a instalação inicial do software (como o Google Translate Desktop, os atacantes atrasam o processo de infeção durante semanas

Os atacantes atrasam o processo de infeção durante semanas para escapar à deteção, apagando vestígios da instalação original.

A CPR adverte que os atacantes podem facilmente optar por alterar o malware, mudando-o de um mineiro criptográfico para troianos de resgate ou troianos bancários, por exemplo.

google translator malware
Publicidade

Sem ser detetado durante anos

A campanha tem funcionado com sucesso sob o radar durante anos. Para evitar a deteção, os autores da Nitrokod implementaram algumas estratégias chave:

  • O malware é executado pela primeira vez quase um mês depois de o programa Nitrokod ser instalado
  • O malware é entregue após 6 fases iniciais de programas infetados
  • A cadeia de infeção é continuada após um longo atraso, utilizando um mecanismo de tarefas programadas, dando aos atacantes tempo para limparem todas as suas provas

Cadeia de Infeção

  1. A infeção começa com a instalação de um programa infetado descarregado a partir da Web
  2. Assim que o utilizador lança o novo software, é instalada uma verdadeira aplicação de imitação Google Translate. Além disso, um ficheiro de atualização é largado no disco, o qual inicia uma série de quatro downloads até que o malware real seja lançado.
  3. Após o malware ser executado, este liga-se ao seu servidor C&C (Command & Control) para obter uma configuração para o mineiro criptográfico XMRig e inicia a atividade de mineração

Figura 2. Mapa da Cadeia de Infeções

google translator malware

Lista de Países com Vítimas:

  • REINO UNIDO
  • EUA
  • Sri Lanka
  • Grécia
  • Israel
  • Alemanha
  • Turquia
  • Chipre
  • Austrália
  • Mongólia
  • Polónia

Descobrimos um website popular que serve versões maliciosas através de imitações de aplicações de PC, incluindo Google Desktop, Google Translate e outras, que incluem um mineiro de moedas criptográficas.

As ferramentas maliciosas podem ser utilizadas por qualquer pessoa. Podem ser encontradas através de uma simples pesquisa na web, descarregadas a partir de um link, e a instalação é um simples duplo clique.

Sabemos que as ferramentas são construídas por um programador turco – que fala turco. Atualmente, a ameaça que identificámos era a instalação inconsciente de um minerador de moeda criptográfica, que rouba recursos informáticos e os aproveita para que o atacante possa rentabilizar.

Utilizando o mesmo fluxo de ataque, o atacante pode facilmente optar por alterar a carga útil final do ataque, alterando-a de um mineiro criptográfico para, digamos, um trojan bancário ou de ransomware.

O que é mais interessante para mim é o facto de o software ser tão popular, mas ter ficado debaixo do radar durante tanto tempo. Esta ameaça foi bloqueada para os clientes da Check Point, e estamos a publicar este relatório para que outros também possam ser protegidos.

Maya Horowitz, Research VP na Check Point Software
Participe no passatempo:
passatempo xiaomi smart band 8

Partilhe este artigo

Techbit
RECEBA AS PRINCIPAIS NOTÍCIAS TECNOLÓGICAS NO SEU EMAIL
Invalid email address
Prometemos não fazer spam e enviar apenas os conteúdos essenciais

Deixe um comentário

Publicidade
Blogarama - Blog Directory