histats

Nitrokod Crypto Miner se cache dans de fausses applications Microsoft et Google Translate

Nitrokod Crypto Miner se cache dans de fausses applications Microsoft et Google Translate

Les chercheurs de Check Point ont partagé les détails d’une nouvelle campagne que les cybercriminels déploient malware de minage de crypto-monnaie. Ce malware est difficile à détecter par les utilisateurs peu méfiants car il est distribué via Google Translate et d’autres applications populaires fausses et malveillantes.

Selon les chercheurs, les logiciels malveillants se propagent via des sites Web tiers hébergés sur des plateformes telles que Uptodown et Softpedia qui proposent des téléchargements de logiciels gratuits. Ces sites sont accessibles par un simple recherche Google.

Nitrokod Crypto Miner se cache dans de fausses applications Microsoft et Google Translate
De fausses applications malveillantes propageant le cryptomineur Nitrokod (image via CheckPoint)

Analyse de campagne

Le cheval de Troie minier de crypto-monnaie s’appelle Nitrokod. Il est largement déguisé en programme Windows pur. Le logiciel malveillant maintient le lecteur en attente pendant plusieurs jours ou semaines et le démarre Extraction de monéro code quand il le juge sûr.

“Ce malware est facilement disponible et n’importe qui peut l’utiliser”, a déclaré la vice-présidente de la recherche de Check Point, Maya Horowitz. La liste des victimes est assez variée puisqu’elles sont réparties dans les pays suivants :

  1. Israël
  2. Turquie
  3. Chypre
  4. Grèce
  5. Pologne
  6. Allemagne
  7. Australie
  8. Mongolie
  9. Sri Lanka
  10. États-Unis
  11. Grande Bretagne

L’analyste des logiciels malveillants de Check Point Moshe Marelus a déclaré que les logiciels malveillants tombent environ un mois après l’infection et que la suppression de fichiers est un processus en plusieurs étapes, ce qui rend assez compliqué le suivi des étapes initiales.

Tactiques d’attaque

L’attaque est une séquence en plusieurs étapes où chaque compte-gouttes ouvre la voie à un autre compte-gouttes jusqu’à ce que le malware réel soit abandonné. L’application fonctionne comme prévu lorsque l’utilisateur télécharge et installe le logiciel chargé avec le malware Nitrokod tandis que le cheval de Troie malveillant fonctionne furtivement en arrière-plan. Il récupère et stocke plusieurs exécutables et planifie l’exécution d’un fichier .exe chaque jour une fois qu’ils sont extraits.

See also  Des comptes de médias sociaux de l'armée britannique piratés pour promouvoir une arnaque à la crypto-monnaie

Lorsque les fichiers sont exécutés, un autre exécutable est extrait, qui établit une connexion à un serveur C2, récupère les paramètres de configuration de l’appareil pour Mineur de monero code, et le processus de minage démarre. Les pièces générées sont envoyées dans les portefeuilles des attaquants. À un moment donné, tous les fichiers de la première phase se suppriment d’eux-mêmes et la phase suivante de la chaîne d’infection commence après quinze jours via l’outil Windows schtasks.exe.

“De cette façon, les premières étapes de la campagne sont séparées de celles qui suivent, ce qui rend très difficile de remonter à la source de la chaîne d’infection et de bloquer les premières applications infectées.”

Moshe Marelus – Poste de contrôle

Le logiciel malveillant inspecte également les processus de machine virtuelle connus et les produits de sécurité installés. S’il est détecté, le programme s’arrête et sort.

Une étape vérifie également les processus de machine virtuelle et les produits de sécurité connus. S’il est trouvé, le programme se ferme. Sinon, ça continue. Les cybercriminels utilisent Fichiers cryptés RAR et protégés par mot de passe à travers les étapes pour les rendre difficiles à détecter.

Nitrokod Crypto Miner se cache dans de fausses applications Microsoft et Google Translate
Chaîne d’infection

Qui sont les attaquants ?

Checkpoint’s enquêtes suggère qu’un groupe de hackers turcophones appelé Nitrokod est derrière cette campagne, a révélé l’équipe de Check Point Research. Elle est active depuis 2019. Cette campagne a été découverte en juillet 2022 et a jusqu’à présent touché 111 000 utilisateurs dans 11 pays.

La méthode utilisée pour piéger les utilisateurs consiste à proposer des versions de bureau d’applications légitimes qui n’ont pas leurs versions de bureau. Les programmeurs Nitrokod attendent patiemment avant de lancer des logiciels malveillants, et leurs attaques impliquent plusieurs étapes.

See also  L'application DeFi basée sur Ethereum d'Inverse Finance piratée ; Les pirates donnent 15 millions de dollars

Logiciel exploité

Outre Google Translate, Nitrokod a exploité d’autres applications de traduction, telles que YouTube Music, Microsoft Translator Desktop et des téléchargeurs MP3. Les applications malveillantes prétendent être 100% propres mais contiennent un crypto-mineur.

  1. Le bogue Google ReCaptcha permet aux bots de contourner le défi du captcha audio
  2. Le faux site de navigateur Brave a laissé tomber des logiciels malveillants, grâce à Google Ads
  3. Google, Microsoft et Oracle ont généré le plus de vulnérabilités en 2021
  4. Google partage des détails sur la vulnérabilité non corrigée de Windows AppContainer
  5. Google Drive représentait 50 % des téléchargements de documents Office malveillants

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *