Check Point 安全研究人员在虚假应用程序中发现了恶意软件谷歌翻译。该软件由一家名为 Nitrokod 的土耳其开发商提供,其形式为谷歌翻译桌面应用程序适用于 Windows 计算机。
开发者利用缺乏官方Windows应用程序来吸引互联网用户。同样,Nitrokod 还提供了适用于 PC 的 YouTube Music 或 Yandex 应用程序。请注意,所有软件均可在免费下载。它自2019年以来一直在运营。
正如 Check Point 所解释的,这些软件是根据官方网页构建的。随后,该活动背后的个人将恶意软件添加到程序代码中。一旦安装到受害者的电脑上,病毒就会变得谨慎。恶意有效负载仅在安装程序后一个月才会激活。这样,互联网用户就不会将下载软件与计算机上的可疑行为联系起来。在此过程中,它会删除所有安装文件。这些预防措施使恶意软件能够“多年来在雷达下成功运作»。
门罗币挖矿
然后,恶意软件将安装并启动 XMRig,该工具可让您你开采门罗币吗(XMR),一种匿名加密货币。通过利用计算机处理器的能力,恶意软件将在用户不知情的情况下生成数字货币。这个过程很快就会有对自主权的影响电池和计算机性能。机器也可能开始过热,从而危及组件的完整性。
这并不是恶意软件第一次在受害者的电脑上挖掘门罗币。过去,Check Point 曾明显发现过以下痕迹:一种名为 CoinHive 的病毒。自 2017 年以来一直活跃,它最多可占用计算机 CPU 功率的 65%。
自 2014 年创建以来,门罗币逐渐成为网络犯罪分子最喜欢的加密货币之一。与比特币不同的是,XMR 是匿名的。追踪交易是不可能的。门罗币区块链是完全不透明的。这非常适合通过勒索软件收取赎金或恢复非法开采的加密货币。当局随后无法追踪黑客的钱包。
谷歌搜索陷阱
Check Point经过调查发现世界各地成千上万的人安装了损坏的 Nitrokod 应用程序。来自德国、英国和美国等11个不同国家的互联网用户落入了黑客的陷阱。
为了传播 XMRig,黑客在 Softpedia 和 uptodown 等热门网站上提供了受感染的应用程序。在 Softpedia 上,假冒版本的谷歌翻译结合了超过 112,000 次下载。这揭示了行动的规模。
谷歌搜索引擎也加速了恶意软件的传播。正如 Check Point 研究副总裁 Maya Horowitz 指出的那样,Nitrokod 的项目通过 Google 搜索突出显示。
当您在搜索栏中输入“谷歌翻译桌面下载”时,首批结果之一确实转发到 Nitrokod 网站。在撰写本文时,这仍然是首先强调的结果之一。在这种情况下,许多互联网用户落入陷阱也就不足为奇了。作为预防措施,Check Point 建议仅从“知名供应商 »。
来源 : 检查点
