Um malware de mineração de criptomoedas invadiu sorrateiramente centenas de milhares de computadores em todo o mundo desde 2019, muitas vezes se passando por programas legítimos, como o Google Tradutor, descobriu uma nova pesquisa.
Em um relatório publicado na segunda-feira pela Check Point Research (CPR), uma equipe de pesquisa do provedor de segurança cibernética americano-israelense, a Check Point Software Technologies revelou que o malware está passsando sem ser dectado, graças em parte ao seu design insidioso que atrasa a instalação do malware de mineração de criptomoedas por semanas após o download inicial do software.
.@_CPResearch_ detected a #crypto miner #malware campaign, which potentially infected thousands of machines worldwide. Dubbed ‘Nitrokod,” the attack was initially found by Check Point XDR. Get the details, here: https://t.co/MeaLP3nh97 #cryptocurrecy #TechnologyNews #CyberSec pic.twitter.com/ANoeI7FZ1O
— Check Point Software (@CheckPointSW) August 29, 2022
.@_CPResearch_ detectou uma campanha de #malware de #criptomineração, que potencialmente infectou milhares de máquinas em todo o mundo. Apelidado de 'Nitrokod', o ataque foi inicialmente encontrado pela Check Point XDR. Obtenha os detalhes aqui: https://t.co/MeaLP3nh97 #cryptocurrecy #TechnologyNews #CyberSec
— Check Point Software (@CheckPointSW) 29 de agosto de 2022
Vinculado a um desenvolvedor de software de língua turca que afirma oferecer “software gratuito e seguro”, o programa de malware invade PCs por meio de versões falsificadas de aplicativos populares como YouTube Music, Google Translate e Microsoft Translate.
Uma vez que um mecanismo de tarefa agendada aciona o processo de instalação do malware, ele passa por várias etapas ao longo de vários dias, terminando com uma operação de mineração de Monero (XMR) sendo configurada.
A empresa de segurança cibernética disse que o minerador de criptomoedas com sede na Turquia apelidado de 'Nitrokod' infectou máquinas em 11 países.
De acordo com o CPR, sites populares de download de software como Softpedia e Uptodown tinham falsificações disponíveis sob o nome de editora Nitrokod INC.
Alguns dos programas foram baixados centenas de milhares de vezes, como a versão desktop falsa do Google Translate na Softpedia, que chegou a ter quase mil avaliações, com uma pontuação média de 9,3 em 10, apesar do Google não ter uma versão para desktop oficial para esse programa.
De acordo com a Check Point Software Technologies, oferecer uma versão desktop dos aplicativos é uma parte fundamental do golpe.
A maioria dos programas oferecidos pela Nitrokod não tem uma versão para desktop, tornando o software falsificado atraente para usuários que acham que encontraram um programa indisponível em qualquer outro lugar.
De acordo com Maya Horowitz, vice-presidente de pesquisa da Check Point Software, as falsificações repletas de malware também estão disponíveis “por uma simples pesquisa na web”.
“O mais interessante para mim é o fato de que o software malicioso é tão popular, mas ficou fora do radar por tanto tempo.”
Até o momento, a imitação do programa Google Translate Desktop da Nitrokod continua sendo um dos principais resultados de pesquisa.
Design ajuda a evitar a detecção
O malware é particularmente difícil de detectar, pois mesmo quando um usuário inicia o software falso, ele não fica sabendo, pois os aplicativos falsos também podem imitar as mesmas funções que o aplicativo legítimo fornece.
A maioria dos programas do hacker é facilmente construída a partir das páginas da Web oficiais usando uma estrutura baseada no Chromium, permitindo que eles espalhem programas funcionais carregados de malware sem desenvolvê-los do zero.
Até agora, mais de cem mil pessoas em Israel, Alemanha, Reino Unido, Estados Unidos, Sri Lanka, Chipre, Austrália, Grécia, Turquia, Mongólia e Polônia foram vítimas do malware.
Para evitar ser enganado por esse malware e outros semelhantes, Horowitz diz que várias dicas básicas de segurança podem ajudar a reduzir o risco.
“Cuidado com domínios semelhantes, erros de ortografia em sites e remetentes de e-mail desconhecidos. Faça o download do software apenas de editores ou fornecedores autorizados e conhecidos e garanta que a segurança do seu endpoint esteja atualizada e forneça proteção abrangente.”
LEIA MAIS:
