Исследователи Check Point приписали тюркоязычную организацию Nitrokod к активной кампании по добыче криптовалюты, которая включает в себя использование поддельных настольных приложений-дропперов для заражения более 111 000 жертв в 11 странах с 2019 года.
Вице-президент по исследованиям Check Point Майя Горовиц заявила , что вредоносные инструменты могут быть использованы кем угодно. Их можно найти с помощью поиска в Интернете, загрузить по ссылке и установить двойным щелчком мыши.
Кампания затронула жертв в следующих странах: Великобритания, США, Шри-Ланка, Греция, Израиль, Германия, Турция, Кипр, Австралия, Монголия и Польша.
Вредоносное ПО распространяется через бесплатное ПО, размещенное на популярных сайтах, таких как Softpedia и Uptodown. Примечательно, что вредоносное ПО откладывает свое выполнение на недели и отделяет свою вредоносную активность от загруженного поддельного ПО, чтобы избежать обнаружения.
После установки зараженной программы происходит развертывание исполняемого файла обновления на диске, который запускает 4-ехэтапную последовательность атаки, при которой каждый дроппер готовит следующий, пока вредоносное ПО не будет удалено на седьмом этапе.
После запуска вредоносной программы устанавливается соединение с удаленным сервером управления и контроля (C&C) для получения файла конфигурации, чтобы инициировать криптоджекинг.
Отличительной чертой кампании Nitrokod является то, что поддельное ПО предназначено для сервисов, у которых нет официальной настольной версии:
Кроме того, вредоносное ПО удаляется почти через месяц после первоначального заражения, когда удаляется криминалистический след. Это затрудняет анализ атаки и ее отслеживание до установщика.
Горовиц заявила, что хакер может легко изменить конечную полезную нагрузку атаки, изменив ее с криптомайнера на программу-вымогатель или банковский троян.