Поддельное приложение Google Translate устанавливает майнер криптовалют на 112 000 ПК
Вредоносное ПО для добычи криптовалют тайком проникает на сотни тысяч компьютеров по всему миру с 2019 года, часто маскируясь под легитимные программы, такие как Google Translate, показало новое исследование.
В опубликованном в понедельник отчете Check Point Research (CPR), исследовательской группы американо-израильского поставщика услуг кибербезопасности Check Point Software Technologies, говорится, что вредоносное ПО годами оставалось незамеченным, отчасти благодаря своей хитрой конструкции, которая задерживает установку вредоносного ПО для добычи криптовалют на несколько недель после первоначальной загрузки программы.
.@_CPResearch_ обнаружил кампанию #crypto miner #malware, которая потенциально заразила тысячи машин по всему миру. Атака, получившая название «Nitrokod», была первоначально обнаружена Check Point XDR. Подробности здесь: #cryptocurrecy #TechnologyNews #CyberSec pic.twitter.com/ANoeI7FZ1O
— Check Point Software (@CheckPointSW) 29 августа 2022 г.
Связанная с турецкоязычным разработчиком программного обеспечения, утверждающим, что он предлагает «бесплатное и безопасное программное обеспечение», вредоносная программа проникает на ПК через поддельные версии популярных приложений, таких как YouTube Music, Google Translate и Microsoft Translate.
После того как механизм запланированных задач запускает процесс установки вредоносной программы, она последовательно проходит несколько этапов в течение нескольких дней, завершаясь созданием скрытой операции по добыче криптовалюты Monero (XMR).
Компания по кибербезопасности сообщила, что базирующийся в Турции криптомайнер, получивший название «Nitrokod», заразил компьютеры в 11 странах.
По данным CPR, на популярных сайтах для загрузки программного обеспечения, таких как Softpedia и Uptodown, были доступны подделки под именем издателя Nitrokod INC.
Некоторые из этих программ были загружены сотни тысяч раз, например, поддельная настольная версия Google Translate на Softpedia, которая даже имела почти тысячу отзывов со средней оценкой 9. 3 из 10, несмотря на то, что у Google нет официальной десктопной версии этой программы.
Скриншот Check Point Research предполагаемого поддельного приложения
По данным Check Point Software Technologies, предложение десктопной версии приложений является ключевой частью мошенничества.
Большинство программ, предлагаемых Nitrokod, не имеют настольной версии, что делает поддельное ПО привлекательным для пользователей, которые думают, что нашли программу, недоступную больше нигде.
По словам Майи Хоровиц, вице-президента по исследованиям компании Check Point Software, подделки, кишащие вредоносным ПО, также доступны «через простой поиск в Интернете».
«Самое интересное для меня то, что вредоносное ПО настолько популярно, но так долго оставалось незамеченным.
На момент написания статьи программа Nitrokod, имитирующая Google Translate Desktop, остается одним из основных результатов поиска.
В настоящее время Nitrokod предлагает подделку Google Translate Desktop.
Дизайн помогает избежать обнаружения
Вредоносное ПО особенно сложно обнаружить, поскольку даже когда пользователь запускает фиктивную программу, он остается в неведении, так как поддельные приложения могут имитировать те же функции, которые выполняет законное приложение.
Большинство хакерских программ легко собираются с официальных веб-страниц с помощью фреймворка на базе Chromium, что позволяет им распространять функциональные программы с вредоносным ПО, не разрабатывая их с нуля.
На сегодняшний день жертвами вредоносной программы стали более ста тысяч человек в Израиле, Германии, Великобритании, США, Шри-Ланке, Кипре, Австралии, Греции, Турции, Монголии и Польше.
Чтобы избежать мошенничества с помощью этой и других подобных ей вредоносных программ, Хоровиц говорит, что несколько основных советов по безопасности помогут снизить риск.
«Остерегайтесь похожих доменов, орфографических ошибок на веб-сайтах и незнакомых отправителей электронной почты. Загружайте программное обеспечение только от авторизованных, известных издателей или поставщиков и убедитесь, что ваша защита конечных точек обновлена и обеспечивает комплексную защиту».