이스라엘에 기반을 둔 사이버 위협 인텔리전스 회사인 Check Point Research(CPR)는 Nitrokod라는 악성 크립토 마이닝 멀웨어 캠페인을 11개국에서 수천 대의 컴퓨터를 감염시킨 범인으로 밝혀냈습니다. 일요일에 발표된 보고서.
크립토재커(Cryptojackers)라고도 하는 크립토 마이너 멀웨어는 감염된 PC의 컴퓨팅 성능을 악용하여 암호 화폐를 채굴하는 멀웨어 유형입니다.
Nitrokod는 웹사이트에서 Google 번역 데스크톱 및 기타 무료 소프트웨어를 사칭하여 크립토 마이너 멀웨어를 실행하고 PC를 감염시키고 있습니다. 순진한 사용자가 "Google 번역 데스크톱 다운로드"를 검색하면 멀웨어에 감염된 소프트웨어에 대한 악성 링크가 Google 검색 결과 상단에 나타납니다.
2019년부터 멀웨어는 사용자가 악성 링크를 다운로드한 후 몇 주 동안 감염 프로세스를 오염시키는 것을 시작으로 다단계 감염 프로세스로 작동했습니다. 또한 원래 설치의 흔적을 제거하여 안티바이러스 프로그램이 맬웨어를 탐지하지 못하도록 합니다.
CPR 보고서에는 “사용자가 새 소프트웨어를 실행하면 실제 Google 번역 애플리케이션이 설치됩니다. 여기서 피해자는 Chromium 기반 프레임워크를 사용하여 사용자를 Google 번역 웹페이지로 안내하고 가짜 애플리케이션을 다운로드하도록 속이는 실제처럼 보이는 프로그램을 접하게 됩니다.
다음 단계에서 멀웨어는 관련 파일 및 증거를 제거하기 위해 로그를 지우는 작업을 예약하고 감염 체인의 다음 단계는 15일 후에 계속됩니다.
"또한 업데이트된 파일이 삭제되어 XNUMX개의 드로퍼가 시작될 때까지 실제 악성코드가 떨어졌다”고 심폐소생술 보고서를 추가했다.
즉, 악성코드는 사이버 범죄자가 Google 번역의 데스크톱 앱 사용자에게 수익을 창출할 수 있도록 하는 명령 및 제어 서버에 연결하여 악성코드 "powermanager.exe"를 감염된 컴퓨터에 은밀히 드롭하는 Monero(XMR) 암호화 채굴 작업을 시작합니다. .
Monero는 크립토재커 및 기타 불법 거래에 가장 잘 알려진 암호화폐입니다. 암호화폐는 보유자에게 거의 익명성을 제공합니다.
합법적인 애플리케이션에 대한 Google 검색 결과 상단에 있는 소프트웨어에서 삭제되기 때문에 크립토 마이너 맬웨어의 희생자가 되기 쉽습니다. PC가 감염되었다고 의심되는 경우 감염된 시스템을 복구하는 방법에 대한 세부 정보를 확인할 수 있습니다. CPR 보고서 마지막 부분에 있습니다.
출처: https://cryptoslate.com/crypto-miner-malware-impersonates-google-translate-desktop-other-legitimate-apps/