كشفت شركة Check Point Research (CPR) لاستخبارات التهديدات الإلكترونية التي تتخذ من إسرائيل مقراً لها ، عن حملة برمجيات خبيثة لتعدين العملات المشفرة أطلق عليها اسم Nitrokod باعتباره الجاني وراء إصابة آلاف الأجهزة في 11 دولة في تقرير نشر يوم الاحد.
تعد البرامج الضارة الخاصة بعامل التعدين المشفر ، والمعروفة أيضًا باسم cryptojackers ، نوعًا من البرامج الضارة التي تستغل القوة الحاسوبية لأجهزة الكمبيوتر المصابة لتعدين العملات المشفرة.
يقوم Nitrokod بانتحال صفة Google Translate Desktop والبرامج المجانية الأخرى على مواقع الويب لإطلاق برامج ضارة لمعدن التشفير وإصابة أجهزة الكمبيوتر. عندما يبحث المستخدمون المطمئن عن "تنزيل Google Translate Desktop" ، يظهر الرابط الضار إلى البرنامج المصاب بالبرامج الضارة أعلى نتائج بحث Google.
منذ عام 2019 ، يعمل البرنامج الضار بعملية إصابة متعددة المراحل ، تبدأ من خلال تأخير تلويث عملية العدوى حتى أسابيع قليلة بعد تنزيل المستخدمين للرابط الضار. كما يقومون أيضًا بإزالة آثار التثبيت الأصلي ، مما يحافظ على البرامج الضارة خالية من الكشف عن طريق برامج مكافحة الفيروسات.
جاء في تقرير CPR: "بمجرد أن يبدأ المستخدم البرنامج الجديد ، يتم تثبيت تطبيق Google Translate الفعلي". هذا هو المكان الذي يواجه فيه الضحايا برامج واقعية المظهر مع إطار عمل قائم على Chromium يوجه المستخدم من صفحة ويب Google Translate ويخدعهم لتنزيل التطبيق المزيف.
في المرحلة التالية ، تقوم البرامج الضارة بجدولة المهام لمسح السجلات لإزالة الملفات والأدلة ذات الصلة ، وستستمر المرحلة التالية من سلسلة العدوى بعد 15 يومًا من اتباع نهج متعدد المراحل يساعد البرنامج الضار على تجنب اكتشافه في وضع الحماية الذي وضعه باحثو الأمن.
"بالإضافة إلى ذلك ، يتم إفلات الملف المحدث ، والذي يبدأ سلسلة من أربعة أدوات قطارة حتى ملف يقدم وأضاف تقرير CPR.
بعبارة أخرى ، تبدأ البرامج الضارة عملية تعدين تشفير Monero (XMR) حيث يتم إسقاط البرنامج الضار "powermanager.exe" خلسة في الأجهزة المصابة عن طريق الاتصال بخادم الأوامر والتحكم الذي يمكّن مجرمي الإنترنت من تحقيق الدخل من مستخدمي تطبيق سطح المكتب الخاص بترجمة Google .
Monero هي العملة المشفرة الأكثر شهرة لمستخدمي التشفير والمعاملات الأخرى غير المشروعة. تقدم العملة المشفرة عدم الكشف عن هويتها لأصحابها.
من السهل الوقوع ضحية للبرامج الضارة الخاصة بعمال المناجم المشفرة حيث يتم إسقاطها من البرامج الموجودة أعلى نتائج بحث Google للتطبيقات المشروعة. إذا كنت تشك في إصابة جهاز الكمبيوتر الخاص بك ، فيمكن الحصول على تفاصيل حول كيفية استرداد جهازك المصاب يمكن العثور عليها في نهاية تقرير CPR.
المصدر: https://cryptoslate.com/crypto-miner-malware-impersonates-google-translate-desktop-other-legitimate-apps/