新的研究發現,自2019 年以來,加密挖掘惡意軟件一直在偷偷入侵全球數十萬台計算機,通常偽裝成合法程序,例如穀歌翻譯。
在美國-以色列網絡安全提供商Check Point Software Technologies 的研究團隊Check Point Research (CPR) 於8 月29 日發布的一份報告中,該惡意軟件已被 飛行 多年來一直不為人知,部分原因在於其陰險的設計會在初始軟件下載後數週內延遲安裝加密挖掘惡意軟件。
.@_CPResearch_ 檢測到一個 #加密貨幣 礦工 #惡意軟件 活動,這可能感染了全球數千台機器。該攻擊被稱為“Nitrokod”,最初是由Check Point XDR 發現的。在此處獲取詳細信息: https://t.co/MeaLP3nh97 #cryptocurrecy #科技新聞 #網絡安全 pic.twitter.com/ANoeI7FZ1O
— Check Point 軟件(@CheckPointSW) 2022 年8 月29 日
與聲稱提供“免費和安全軟件”的土耳其語軟件開發商有關,該惡意軟件程序通過YouTube 音樂、谷歌翻譯和微軟翻譯等流行應用程序的假冒桌面版本侵入個人電腦。
一旦計劃任務機制觸發了惡意軟件安裝過程,它會在幾天內穩步執行幾個步驟,最後以建立隱形門羅幣(XMR) 加密挖掘操作結束。
這家網絡安全公司表示,總部位於土耳其的名為“Nitrokod”的加密礦工已經感染了11 個國家的機器。
根據CPR 的說法,Softpedia 和Uptodown 等流行的軟件下載網站都有以出版商名稱“Nitrokod INC”為名的偽造品。
其中一些程序已經被下載了數十萬次,例如軟百科上的假桌面版谷歌翻譯,甚至有近千條評論,儘管谷歌沒有官方桌面,但平均評分為9.3 分(滿分10 分)該程序的版本。
根據Check Point Software Technologies 的說法,提供桌面版應用程序是該騙局的關鍵部分。
Nitrokod 提供的大多數程序都沒有桌面版本,這使得假冒軟件吸引了那些認為他們發現在其他任何地方都無法使用的程序的用戶。
根據Check Point Software 研究副總裁Maya Horowitz 的說法,充滿惡意軟件的假貨也可以“通過簡單的網絡搜索”獲得。
“對我來說最有趣的是,惡意軟件如此流行,但卻被忽視了這麼長時間。”
在撰寫本文時,Nitrokod 的模仿谷歌翻譯桌面程序仍然是主要的搜索結果之一。
設計有助於避免檢測
該惡意軟件特別難以檢測,因為即使用戶啟動了虛假軟件,他們仍然不聰明,因為假應用程序也可以模仿合法應用程序提供的相同功能。
大多數黑客的程序都是使用基於Chromium 的框架從官方網頁輕鬆構建的,允許他們傳播加載了惡意軟件的功能程序,而無需從頭開始開發它們。
到目前為止,以色列、德國、英國、美國、斯里蘭卡、塞浦路斯、澳大利亞、希臘、土耳其、蒙古和波蘭的超過十萬人都成為了該惡意軟件的犧牲品。
為了避免被這種惡意軟件和其他類似惡意軟件欺騙,霍洛維茨說,一些基本的安全提示可以幫助降低風險。
“當心相似的域、網站中的拼寫錯誤和不熟悉的電子郵件發件人。僅從授權的已知發布商或供應商處下載軟件,並確保您的端點安全是最新的並提供全面的保護。”