Technology

Cette application Google Translate est en fait un crypto-mineur Windows • The Register

Written by admin

Attention : quelqu’un diffuse des logiciels malveillants d’extraction de crypto-monnaie déguisés en applications d’apparence légitime, telles que Google Traduction, sur des sites de téléchargement de logiciels gratuits et via des recherches Google.

Le cheval de Troie de cryptominage, connu sous le nom de Nitrokod, est généralement déguisé en une application Windows propre et fonctionne comme l’utilisateur s’y attend pendant des jours ou des semaines avant que son code caché de création de Monero ne soit exécuté.

On dit que le groupe turcophone derrière Nitrokod – qui est actif depuis 2019 et a été détecté par les chasseurs de menaces de Check Point Research fin juillet – pourrait déjà avoir infecté des milliers de systèmes dans 11 pays. Ce qui est intéressant, c’est que les applications fournissent une version de bureau aux services généralement disponibles uniquement en ligne.

“Le malware est supprimé des applications qui sont populaires, mais qui n’ont pas de version de bureau réelle, comme Google Translate, ce qui maintient les versions du malware en demande et exclusives”, a écrit Moshe Marelus, analyste des logiciels malveillants chez Check Point. rapport Lundi.

“Le logiciel malveillant tombe près d’un mois après l’infection et suit d’autres étapes pour supprimer des fichiers, ce qui rend très difficile l’analyse jusqu’à l’étape initiale.”

En plus de Google Translate, d’autres logiciels exploités par Nitrokod incluent d’autres applications de traduction – y compris Microsoft Translator Desktop – et des programmes de téléchargement MP3. Sur certains sites, les applications malveillantes se vanteront d’être “100% propres”, bien qu’elles soient en fait chargées de logiciels malveillants de minage.

Nitrokod a réussi à utiliser des sites de téléchargement tels que Softpedia pour diffuser son code coquin. Selon Softpedia, l’application Nitrokod Google Translator a été téléchargée plus de 112 000 fois depuis décembre 2019.

Selon Check Point, les programmeurs de Nitrokod sont patients, prennent beaucoup de temps et prennent plusieurs mesures pour dissimuler la présence du logiciel malveillant à l’intérieur d’un PC infecté avant d’installer un code de cryptomining agressif. Ces longs efforts d’infection en plusieurs étapes ont permis à la campagne de se dérouler sans être détectée par les experts en cybersécurité pendant des années avant d’être finalement découverte.

“La plupart de leurs programmes développés sont facilement construits à partir des pages Web officielles à l’aide d’un cadre basé sur Chromium”, a-t-il écrit. “Par exemple, l’application de bureau Google Translate est convertie à partir de la page Web Google Translate à l’aide du CEF [Chromium Embedded Framework] projet. Cela donne aux attaquants la possibilité de diffuser des programmes fonctionnels sans avoir à les développer.”

Une fois que le programme piégé est téléchargé et que l’utilisateur lance le logiciel, une véritable application Google Translate, construite comme décrit ci-dessus à l’aide de Chromium, est installée et s’exécute comme prévu. Dans le même temps, discrètement en arrière-plan, le logiciel récupère et enregistre une série d’exécutables qui finissent par planifier l’exécution quotidienne d’un fichier .exe particulier une fois décompressé. Cela extrait un autre exécutable qui se connecte à un serveur de commande et de contrôle à distance, récupère les paramètres de configuration pour le code mineur Monero et démarre le processus d’extraction, avec les pièces générées envoyées aux portefeuilles des malfaiteurs. Une partie du code à un stade précoce s’autodétruira pour brouiller les pistes.

“À ce stade, tous les fichiers et preuves associés sont supprimés et la prochaine étape de la chaîne d’infection se poursuivra après 15 jours par l’utilitaire Windows schtasks.exe”, a écrit Marelus. “De cette façon, les premières étapes de la campagne sont séparées de celles qui suivent, ce qui rend très difficile de retracer la source de la chaîne d’infection et de bloquer les premières applications infectées.”

Une étape vérifie également les processus de machine virtuelle et les produits de sécurité connus, ce qui pourrait indiquer que le logiciel est en cours d’analyse par des chercheurs. S’il en trouve un, le programme se fermera. Si le programme continue, il ajoutera une règle de pare-feu pour autoriser les connexions réseau entrantes.

Tout au long des multiples étapes, les attaquants utilisent des fichiers cryptés RAR protégés par mot de passe pour livrer l’étape suivante afin de les rendre plus difficiles à détecter.

Les chercheurs de Check Point ont pu étudier la campagne de cryptominage grâce à la plate-forme de détection et de réponse étendues Infinity (XDR) du fournisseur, a déclaré Marelus. ®

About the author

admin

Leave a Comment