Nitrokod: Check Point Research detecta el malware Crypto Miner disfrazado de Google Translate Desktop

Nitrokod: Check Point Research detecta el malware Crypto Miner disfrazado de Google Translate Desktop y otras aplicaciones legítimas. En su web han publicado esta detección con su informe. Desde Frikipandi siempre recomendamos bajar el software desde los repositorios oficiales

• Check Point Research (CPR) detectó una campaña de malware criptominero con sede en Turquía, denominada ‘Nitrokod’, que infectó máquinas en 11 países
• El malware se elimina del software popular disponible en docenas de sitios web de software gratuito.
• Los distribuidores de malware separan la actividad maliciosa del software falso descargado para evitar la detección.
• El ataque fue encontrado inicialmente por Check Point XDR, que supera el mecanismo de evasión del ataque.

Check Point Research (CPR) ha detectado una campaña de criptominería no revelada anteriormente, llamada Nitrokod, que potencialmente infectó a miles de máquinas en todo el mundo.

En el núcleo de la campaña hay varias utilidades como la aplicación del traductor de Google. Creada por una entidad de habla turca, la campaña eliminó malware del software gratuito disponible en sitios web populares como Softpedia y uptodown. El software también se puede encontrar fácilmente a través de Google cuando los usuarios buscan «descarga de Google Translate Desktop».

Si bien las aplicaciones cuentan con pancartas de «100 CLEAN» en algunos sitios, de hecho, las aplicaciones están troyanizadas y contienen un mecanismo retrasado para desencadenar una larga infección de múltiples etapas que termina con un malware de criptominería.

Después de la instalación inicial del software, los atacantes demoraron el proceso de infección durante semanas y eliminaron los rastros de la instalación original. Esto permitió que la campaña operara con éxito bajo el radar durante años.

Figura 1: Resultados principales para «Descarga de Google Translate Desktop»

Nitrokod

Activo desde 2019, Nitrokod es un desarrollador de software de habla turca que afirma ofrecer software gratuito y seguro.

La mayoría de los programas que ofrece Nitrokod son software popular que no tiene una versión de escritorio oficial. Por ejemplo, el programa Nitrokod más popular es la aplicación de escritorio Google Translate. Google no ha lanzado una versión de escritorio oficial, lo que hace que la versión de los atacantes sea muy atractiva.

Figura 2: Nitrokod[.]com

La mayoría de sus programas desarrollados se crean fácilmente a partir de las páginas web oficiales utilizando un marco basado en Chromium. Por ejemplo, la aplicación de escritorio de Google Translate se convierte desde la página web de Google Translate ( https://translate.google.com ) utilizando el proyecto CEF. Esto les da a los atacantes la capacidad de difundir programas funcionales sin tener que desarrollarlos.

Para evitar la detección, los autores de Nitrokod separan la actividad maliciosa del programa Nitrokod descargado inicialmente:

• El malware se ejecuta por primera vez casi un mes después de la instalación del programa Nitrokod.
• El malware se entrega después de 6 etapas anteriores de programas infectados.
• La cadena de infección continuó después de un largo retraso utilizando un mecanismo de tareas programadas, dando tiempo a los atacantes para eliminar la evidencia.

Cadena de infección

Figura 3: cadena de infección

Las cadenas de infección son similares en la mayoría de las campañas de Nitrokod, comenzando con la instalación de un programa infectado descargado de la Web.
Una vez que el usuario inicia el nuevo software, se instala una aplicación real de Google Translate. Además, se elimina un archivo actualizado que inicia una serie de cuatro droppers hasta que se elimina el malware real.

CPR detectó esta nueva campaña de malware criptominero utilizando la plataforma Infinity XDR (detección y respuesta extendida) de Check Point, una solución XDR centrada en la prevención. Esta herramienta permite a los equipos de SOC detectar, investigar y responder rápidamente a los ataques en toda su infraestructura de TI. Identifica amenazas dentro de la organización y previene su expansión al aprovechar los datos correlacionados de todos los productos, incluidos Endpoint, Network, Web security, etc

Remediación:

Para limpiar una máquina infectada, siga estos pasos.

1. Elimine los siguientes archivos en system32:
   • Cualquier archivo que comience con chainlink.
   • exe
   • exe
2. Elimina el actualizador.
   • Quite la carpeta C:\ProgramData\Nitrokod.
3. Eliminar tareas de programación maliciosas.

 

. Leer artículo completo en Frikipandi Nitrokod: Check Point Research detecta el malware Crypto Miner disfrazado de Google Translate Desktop.

Entradas recientes para Nitrokod: Check Point Research detecta el malware Crypto Miner disfrazado de Google Translate Desktop

1. Google lanza "Speaking practice" para practicar inglés con IA
2. ¡Maestro y aprendiz se enfrentan en el nuevo tráiler de DRAGON BALL: Sparking! ZERO!
3. Sea of Thieves está disponible en PlayStation 5 desde hoy, y la Temporada 12 ya está aquí
4. Sneki Snek y Sonic the Hedgedog presentan una línea de productos
5. Celebra la Fuerza este 4 de mayo con una galáctica oferta de productos de Star Wars