تقنية

برنامج Monero Mining Malware يحقق النجاح على رأس بحث Google

08/31/2022
أخبار Bitcoin Ethereum
  • يظهر Nitrokod حاليًا في أعلى نتائج بحث Google للتطبيقات الشائعة ، بما في ذلك الترجمة
  • تقوم البرامج الضارة بإلغام مونيرو بشكل ضار باستخدام موارد الكمبيوتر الخاصة بالمستخدمين ، مرددة صدى CoinHive الذي كان غزير الإنتاج في السابق

أصابت حملة البرامج الضارة الخبيثة التي تستهدف المستخدمين الذين يبحثون عن تطبيقات Google آلاف أجهزة الكمبيوتر على مستوى العالم لتعدين العملة المشفرة التي تركز على الخصوصية (XMR).

ربما لم تسمع أبدًا عن Nitrokod. عثرت شركة الاستخبارات الإلكترونية تشيك بوينت ريسيرش (CPR) ومقرها إسرائيل على البرنامج الضار الشهر الماضي. 

في باقة تقرير يوم الاحد، قالت الشركة إن Nitrokod يخفي نفسه في البداية على أنه برنامج مجاني ، بعد أن حقق نجاحًا ملحوظًا في أعلى نتائج بحث Google عن "تنزيل سطح المكتب من Google Translate".

تُعرف أيضًا باسم cryptojacking ، وقد تم استخدام برامج التعدين الضارة للتسلل إلى أجهزة المستخدمين المطمئنين منذ عام 2017 على الأقل ، عندما برزت إلى جانب شعبية العملات المشفرة.

صورة

اكتشف CPR سابقًا برنامج CoinHive الخبيث المعروف جيدًا ، والذي قام أيضًا بتعدين XMR ، في نوفمبر من ذلك العام. قيل أن CoinHive يسرق 65٪ من إجمالي موارد وحدة المعالجة المركزية للمستخدم النهائي بدون علمهم. أكاديميون محسوب كانت البرمجيات الخبيثة تولد 250,000 ألف دولار شهريًا في ذروتها ، وكان الجزء الأكبر منها يذهب إلى أقل من عشرة أفراد.

بالنسبة إلى Nitrokod ، يعتقد CPR أنه تم نشره من قبل كيان ناطق باللغة التركية في وقت ما في عام 2019. وهو يعمل عبر سبع مراحل حيث يتحرك على طول مساره لتجنب الكشف عن برامج مكافحة الفيروسات النموذجية ودفاعات النظام. 

وكتبت الشركة في تقريرها: "يتم إسقاط البرامج الضارة بسهولة من البرامج الموجودة في أعلى نتائج بحث Google للتطبيقات الشرعية".

تم العثور على Softpedia و Uptodown على أنهما مصدران رئيسيان للتطبيقات المزيفة. تواصلت Blockworks مع Google لمعرفة المزيد حول كيفية تصفية هذه الأنواع من التهديدات.

مصدر الصورة: تحقق نقطة البحث

بعد تنزيل التطبيق ، يقوم المثبت بتنفيذ قطارة متأخرة ويقوم بتحديث نفسه باستمرار عند كل إعادة تشغيل. في اليوم الخامس ، يقوم القطارة المتأخرة باستخراج ملف مشفر. 

يبدأ الملف بعد ذلك المراحل النهائية لـ Nitrokod ، والتي تحدد حول جدولة المهام ، ومسح السجلات وإضافة استثناءات إلى جدران الحماية المضادة للفيروسات بمجرد انقضاء 15 يومًا.

أخيرًا ، يتم إسقاط البرامج الضارة لتعدين العملات المشفرة "powermanager.exe" خلسةً على الجهاز المصاب وتبدأ عملية إنشاء التشفير باستخدام أداة تعدين وحدة المعالجة المركزية (CPU) مفتوحة المصدر المستندة إلى Monero XMRig (نفس البرنامج المستخدم بواسطة CoinHive).

وكتبت الشركة في تقريرها: "بعد التثبيت الأولي للبرنامج ، أخر المهاجمون عملية العدوى لأسابيع وحذفوا الآثار من التثبيت الأصلي". "سمح هذا للحملة بالعمل بنجاح تحت الرادار لسنوات."

يمكن العثور على تفاصيل حول كيفية تنظيف الآلات المصابة بـ Nitrokod على نهاية تقرير تهديد CPR.

احصل على أفضل الأخبار والرؤى المتعلقة بالعملات المشفرة في اليوم إلى صندوق الوارد الخاص بك كل مساء. اشترك في النشرة الإخبارية المجانية من Blockworks الآن.

  • سيباستيان سنكلير

    بلوكوركس

    مراسل أول ، مكتب أخبار آسيا

    سيباستيان سنكلير هو مراسل صحفي أول في Blockworks العاملة في جنوب شرق آسيا. لديه خبرة في تغطية سوق العملات المشفرة بالإضافة إلى بعض التطورات التي تؤثر على الصناعة بما في ذلك التنظيم والأعمال وعمليات الاندماج والشراء. لا يملك حاليًا أي عملات معماة.

    تواصل مع سيباستيان عبر البريد الإلكتروني على [البريد الإلكتروني محمي]

المصدر: https://blockworks.co/monero-mining-malware-finds-success-at-top-of-google-search/