Google Translate veya MP3 indirme programları kılığında yeni bir kötü amaçlı yazılım kampanyasının 11 ülkede kripto para madenciliği kötü amaçlı yazılımları dağıttığı bulundu.
Sahte uygulamalar meşru özgür yazılım siteleri aracılığıyla dağıtılmakta ve hem sitelerin düzenli ziyaretçileri hem de arama motorları için kötü amaçlı uygulamalara geniş bir şekilde maruz kalma sağlanmaktadır.
tarafından bir rapora göre Kontrol Noktasıkötü amaçlı yazılım, ilk bakışta kötü amaçlı yazılım içermediği ve reklamı yapılan işlevselliği sağlayan ‘Nitrokod’ adlı bir geliştirici tarafından oluşturulur.
Ancak Check Point, yazılımın kötü amaçlı kötü amaçlı yazılım bileşenlerinin kurulumunu algılamadan kaçınmak için kasıtlı olarak bir aya kadar geciktirdiğini söylüyor.
Ne yazık ki, Nitrokod’un teklifleri Google Arama sonuçlarında üst sıralarda yer alıyor, bu nedenle web sitesi belirli bir yardımcı program arayan kullanıcılar için mükemmel bir tuzak görevi görüyor.
BleepingComputer, listelenen iletişim adresinden Nitrokod’un yöneticisiyle iletişime geçti, ancak henüz onlardan bir yorum almadık.
Ek olarak, Check Point’in keşfettiği gibi, Nitrokod’un Google Çeviri uygulaması da Softpedia’ya yüklendi ve burada 112.000’den fazla indirmeye ulaştı.
Enfeksiyon zinciri
Nitrokod web sitesinden hangi programın indirildiğinden bağımsız olarak, kullanıcı, AV algılamasından kaçan ve seçilen uygulamanın adını taşıyan bir yürütülebilir dosya içeren parola korumalı bir RAR alır.
Dosyayı çalıştırdıktan sonra, yazılım iki kayıt defteri anahtarıyla birlikte kullanıcının sistemine yüklenir.
Şüphe uyandırmaktan kaçınmak ve korumalı alan analizini engellemek için yazılım, enfeksiyonun beşinci gününde Wget aracılığıyla alınan başka bir şifreli RAR dosyasından bir damlalık etkinleştirir.
Ardından, yazılım, PowerShell komutlarını kullanarak tüm sistem günlüklerini temizler ve 15 gün sonra, bir sonraki şifreli RAR’ı “intelserviceupdate” den alır.[.]com.”
Bir sonraki aşama damlatıcı, virüsten koruma yazılımının varlığını kontrol eder, sanal makinelere ait olabilecek işlemleri arar ve sonunda bir güvenlik duvarı kuralı ve Windows Defender’a bir dışlama ekler.
Cihaz son yük için hazırlandığına göre, program XMRig madenciliği kötü amaçlı yazılımını, denetleyicisini ve ayarlarına sahip bir “.sys” dosyasını içeren başka bir RAR dosyasını getiren son damlalığı yükler.
Kötü amaçlı yazılım bir masaüstünde mi yoksa dizüstü bilgisayarda mı çalıştığını belirler ve ardından C2’sine (“nvidiacenter[.]com”) ve HTTP POST istekleri aracılığıyla tam bir ana sistem raporu gönderir.
Son olarak, C2 etkinleştirilip etkinleştirilmeyeceği, ne kadar CPU gücünün kullanılacağı, C2’ye tekrar ne zaman ping atılacağı veya bulunursa hangi programların kontrol edilip çıkılacağı gibi talimatlarla yanıt verir.
nasıl güvende kalınır
Kripto madenciliği kötü amaçlı yazılımları, donanım stresine ve aşırı ısınmaya neden olarak donanıma zarar verebileceğinden ve ek CPU kaynakları kullanarak bilgisayarınızın performansını etkileyebileceğinden bir risk olabilir.
Ek olarak, Check Point tarafından keşfedilen kötü amaçlı yazılım düşürücüler, son yükü herhangi bir zamanda çok daha tehlikeli bir şeyle değiştirebilir.
Kendinizi korumak için, Google çeviri aracının masaüstü sürümü gibi orijinal geliştirici tarafından resmi olarak yayınlanmayan işlevsellik vaat eden uygulamaları indirmekten kaçının.