Nitrokod CryptoMiner IOCs

security IOC

В конце июля 2022 года компания Check Point Research (CPR) обнаружила ранее нераскрытую кампанию криптомайнинга под названием Nitrokod, которая потенциально заразила тысячи машин по всему миру.


В основе кампании лежат несколько полезных утилит. Созданная турецкоязычным субъектом, кампания сбросила вредоносное ПО с бесплатных программ, доступных на популярных веб-сайтах, таких как Softpedia и uptodown. Программное обеспечение также можно легко найти через Google по запросу "Google Translate Desktop download". Хотя приложения могут похвастаться баннерами "100 CLEAN" на некоторых сайтах, на самом деле они являются троянами и содержат отложенный механизм для запуска длительной многоступенчатой инфекции, которая заканчивается криптомайнингом вредоносной программы. После первоначальной установки программного обеспечения злоумышленники откладывали процесс заражения на несколько недель и удаляли следы первоначальной установки. Это позволило кампании успешно действовать под радаром в течение многих лет.
Чтобы избежать обнаружения, авторы Nitrokod отделяют вредоносную активность от первоначально загруженной программы Nitrokod:

  • Вредоносная программа впервые запускается почти через месяц после установки программы Nitrokod.
  • Вредоносная программа поставляется после 6 предыдущих этапов заражения программ.
  • Цепочка заражения продолжилась после длительной задержки с использованием механизма запланированных задач, что дает злоумышленникам время для очистки улик.

Indicators of Compromise

Domains

  • Nitrokod.com
  • intelserviceupdate.com
  • nvidiacenter.com

URLs

  • http://nitrokod.com/download/GoogleTranslateDesktop.rar

MD5

  • 017781535bdbe116740b6e569657eedf
  • 0cabd67c69355be4b17b0b8a57a9a53c
  • 27d32f245aaae58c1caa52b349bed6fb
  • 668f228c2b2ff54b4f960f7d23cb4737
  • a3d1702ada15ef384d1c8b2994b0cf2e
  • abe0fb9cd0a6c72b280d15f62e09c776
SEC-1275-1
Добавить комментарий