В конце июля 2022 года компания Check Point Research (CPR) обнаружила ранее нераскрытую кампанию криптомайнинга под названием Nitrokod, которая потенциально заразила тысячи машин по всему миру.
В основе кампании лежат несколько полезных утилит. Созданная турецкоязычным субъектом, кампания сбросила вредоносное ПО с бесплатных программ, доступных на популярных веб-сайтах, таких как Softpedia и uptodown. Программное обеспечение также можно легко найти через Google по запросу "Google Translate Desktop download". Хотя приложения могут похвастаться баннерами "100 CLEAN" на некоторых сайтах, на самом деле они являются троянами и содержат отложенный механизм для запуска длительной многоступенчатой инфекции, которая заканчивается криптомайнингом вредоносной программы. После первоначальной установки программного обеспечения злоумышленники откладывали процесс заражения на несколько недель и удаляли следы первоначальной установки. Это позволило кампании успешно действовать под радаром в течение многих лет.
Чтобы избежать обнаружения, авторы Nitrokod отделяют вредоносную активность от первоначально загруженной программы Nitrokod:
- Вредоносная программа впервые запускается почти через месяц после установки программы Nitrokod.
- Вредоносная программа поставляется после 6 предыдущих этапов заражения программ.
- Цепочка заражения продолжилась после длительной задержки с использованием механизма запланированных задач, что дает злоумышленникам время для очистки улик.
Indicators of Compromise
Domains
- Nitrokod.com
- intelserviceupdate.com
- nvidiacenter.com
URLs
- http://nitrokod.com/download/GoogleTranslateDesktop.rar
MD5
- 017781535bdbe116740b6e569657eedf
- 0cabd67c69355be4b17b0b8a57a9a53c
- 27d32f245aaae58c1caa52b349bed6fb
- 668f228c2b2ff54b4f960f7d23cb4737
- a3d1702ada15ef384d1c8b2994b0cf2e
- abe0fb9cd0a6c72b280d15f62e09c776