I ricercatori di Check Point Software hanno scoperto una nuova campagna di cryptomining, denominata Nitrokod, che ha probabilmente infettato migliaia di computer. Il cryptominer è stato nascosto in applicazioni apparentemente legittime, come Google Translate, pubblicate anche su Softpedia e mostrate nei primi posti dei risultati delle ricerche. Per evitare la rilevazione è stata implementata l’attivazione ritardata.
Infezione multi-stadio con il timer
Nitrokod è uno sviluppatore di lingua turca che offre software gratuiti, uno dei quali è la versione desktop di Google Translate (che non esiste). Questa e altre applicazioni vengono spesso posizionate all’inizio dei risultati delle ricerche e pubblicate su noti siti, come Softpedia. Gli utenti cadono nella trappola e installano i software. La catena di infezione è piuttosto complessa e prevede sette stadi.
L’installer scarica un file RAR cifrato dal sito dello sviluppatore. Viene quindi estratto un eseguibile che verifica la presenza di aggiornamenti con il dropper update.exe
e imposta l’avvio automatico per mantenere la persistenza. Il dropper viene eseguito dopo cinque giorni. Dopo quattro riavvi del computer viene scaricato un altro dropper che, dopo 15 giorni, scarica un altro file RAR cifrato.
Il file viene decompresso dopo due giorni ed eseguito il giorno successivo. Viene quindi verificata la presenza di antivirus e aggiunta una regola al firewall per non bloccare le connessioni in entrata. Un ultimo dropper scarica un altro archivio RAR cifrato che contiene il cryptominer XMRig.
Dopo aver inviato le informazioni sul computer al server C&C (command and control), il malware riceve le istruzioni di configurazione del cryptominer, tra cui la percentuale di CPU da sfruttare per generare monete digitali. Tutte le attività vengono eseguite nel corso di un mese circa per evitare la rilevazione da parte degli antivirus.