Um malware de mineração de criptomoeda disfarçado de aplicativo de aparência legítima, como o Google Translator Desktop e outros softwares gratuitos, está disponível em sites de download gratuito de software e por meio de buscas no Google. Além do Google Translator, ele simula outros aplicativos de tradução — incluindo o Microsoft Translator Desktop — e programas de download de MP3. Em alguns sites, os aplicativos maliciosos se dizem ser “100% limpos”, embora na verdade estejam carregados com malware de criptomineração.
O malware, criado por um grupo de hackers de idioma turco chamado Nitrokod, infecta PCs desde 2019 e tem tido sucesso usando sites de download como o Softpedia para espalhar seu código malicioso. De acordo com a Softpedia, o aplicativo Nitrokod Google Translator foi baixado mais de 112 mil vezes desde dezembro de 2019 e já fez vítimas em 11 países, de acordo com dados publicados pela Check Point Research (CPR), divisão de inteligência em ameaças da Check Point Software.
O Nitrokod normalmente é disfarçado como um aplicativo Windows limpo e funciona como o usuário espera por dias ou semanas até que seu código oculto de mineração do Monero seja executado. De acordo com o relatório da CPR, os invasores atrasam o processo de infecção por semanas para evitar a detecção. “A campanha elimina malware por meio de software gratuito disponível em sites populares como Softpedia e uptodown”, explicou CPR no relatório de pesquisa. O software também pode ser encontrado por meio de buscas no Google com palavras-chave como “download do Google Translator”.
Conforme escreveu o analista de malware da Check Point, Moshe Marelus, no relatório, “o malware é descartado de aplicativos populares, mas não têm uma versão real para desktop, como o Google Translator, mantendo as versões de malware sob demanda e exclusivas”.
Após o usuário baixar o software, um aplicativo que imita o Google Translator é instalado. “Além disso, um arquivo de atualização é descartado no disco, que inicia uma série de quatro droppers até que o malware real seja descartado”, disse CPR. Depois de baixado e executado, o malware se conecta ao servidor de comando e controle (C&C) para obter uma configuração para o criptominerador XMRig e iniciar a atividade de mineração.
Veja isso
Gangue de criptomineração usa IP de domínio do governo brasileiro
Malware de criptomineração tem como alvo servidores Linux
“Atualmente, a ameaça que identificamos foi a instalação inadvertida do minerador de criptomoedas, que rouba recursos do computador e os aproveita para o invasor monetizar”, disse Maya Horowitz, vice-presidente de pesquisa da Check Point Software.
Usando o mesmo fluxo de ataque, o invasor também pode alterar a carga útil final do ataque, alterando-o de um criptominerador para um ransomware ou trojan bancário.
“O mais curioso é o fato de o malware ser tão popular e ter ficado fora do radar por tanto tempo”, acrescentou Maya. “Nós bloqueamos a ameaça para os clientes da Check Point e estamos publicando este relatório para que outros também possam ser protegidos.
De acordo com a Check Point, os programadores da Nitrokod são pacientes, levando muito tempo e adotando várias etapas para manter a presença do malware indetectável dentro de um PC infectado antes de instalar um código agressivo de criptomineração. Essa estratégia de infecção em vários estágios permitiu que o malware fosse executado sem ser detectado por especialistas em segurança cibernética por anos antes de finalmente ser descoberto.