اپلیکیشن جعلی گوگل ترنسلیت کریپتو ماینر را روی ۱۱۲۰۰۰ رایانه نصب می کند.

این بدافزار افتضاح که به عنوان نرم افزار دسکتاپ قانونی پنهان شده است، هزاران دستگاه را در ۱۱ کشور آلوده کرده و آنها را مجبور به استخراج ندانسته مونرو (XMR) کرده است.

تحقیقات جدید نشان می‌دهد بدافزار استخراج رمزارز از سال ۲۰۱۹ بی‌سروصدا به صدها هزار رایانه در سراسر جهان نفوذ کرده است، که اغلب به عنوان برنامه‌های قانونی مانند Google Translate پنهان شده‌اند.

بر اساس گزارش ۲۹ اوت توسط Check Point Research (CPR)، یک تیم تحقیقاتی در Check Point Software Technologies، ارائه‌دهنده امنیت سایبری ایالات متحده و اسرائیل، این بدافزار سال‌ها بدون توجه به پرواز درآمده است. چند هفته پس از دانلود نرم افزار اولیه، بدافزار استخراج ارز دیجیتال.

.@_CPResearch_ شناسایی شده #دخمه معدن کار #بد افزار این کمپین می توانست هزاران دستگاه را در سراسر جهان آلوده کند. این حمله که “Nitrokod” نام داشت، اولین بار توسط Check Point XDR کشف شد. بیشتر بدانید: https://t.co/MeaLP3nh97 #ارز رمزنگاری شده #اخبار فناوری #سایبرسکی pic.twitter.com/ANoeI7FZ1O

– نرم افزار Check Point (@CheckPointSW) ۲۹ آگوست ۲۰۲۲

این برنامه بدافزار که با یک توسعه‌دهنده نرم‌افزار ترک زبان مرتبط است که ادعا می‌کند «نرم‌افزار رایگان و امن» ارائه می‌کند، از طریق نسخه‌های دسک‌تاپ تقلبی برنامه‌های محبوب مانند YouTube Music، Google Translate و Microsoft Translate به رایانه‌های شخصی نفوذ می‌کند.

هنگامی که مکانیسم وظیفه برنامه ریزی شده فرآیند نصب بدافزار را آغاز می کند، به طور پیوسته چندین مرحله را طی چند روز انجام می دهد تا عملیات استخراج رمزنگاری مخفی مونرو (XMR) را راه اندازی کند.

یک شرکت امنیت سایبری اعلام کرد که یک ماینر ارز دیجیتال مستقر در ترکیه به نام «نیتروکود» ماشین‌های ۱۱ کشور را آلوده کرده است.

به گفته CPR، تقلبی ها در سایت های دانلود نرم افزار معروف مانند Softpedia و Uptodown با نام ناشر “Nitrokod INC” موجود بود.

برخی از برنامه ها صدها هزار بار دانلود شده بودند. به عنوان مثال، نسخه دسکتاپ جعلی گوگل ترنسلیت سافت پدیا نزدیک به ۱۰۰۰ بررسی با میانگین امتیاز ستاره ۹.۳ از ۱۰ داشت، حتی اگر گوگل دسکتاپ رسمی ندارد. نسخه برنامه

طبق گفته‌های Check Point Software Technologies، ارائه نسخه دسکتاپ برنامه یکی از بخش‌های کلیدی کلاهبرداری است.

اکثر برنامه های ارائه شده توسط Nitrokod نسخه دسکتاپ ندارند، بنابراین این نرم افزار تقلبی برای کاربرانی که فکر می کنند برنامه ای را پیدا کرده اند که در هیچ جای دیگری یافت نمی شود جذاب است.

به گفته مایا هوروویتز، معاون تحقیقات Check Point Software، جعل‌های بدافزار را می‌توان «با یک جستجوی ساده در وب» نیز به دست آورد.

جالب‌ترین چیز برای من این واقعیت است که نرم‌افزارهای مخرب، علیرغم اینکه بسیار محبوب هستند، برای مدت طولانی مورد توجه قرار نگرفته‌اند.

تا زمان نگارش این مقاله، برنامه Google Translate Desktop کپی‌کننده Nitrokod هنوز یکی از نتایج اصلی جستجو است.

طراحی شده برای جلوگیری از شناسایی

شناسایی بدافزار بسیار دشوار است زیرا حتی اگر کاربر نرم افزار جعلی را راه اندازی کند، برنامه جعلی می تواند همان عملکرد ارائه شده توسط برنامه قانونی را تقلید کند.

بسیاری از برنامه‌های هکرها را می‌توان به راحتی با استفاده از چارچوب‌های مبتنی بر کرومیوم از صفحات وب رسمی آنها ایجاد کرد و به آنها اجازه می‌دهد بدافزار را بدون نیاز به توسعه یک برنامه کاربردی از ابتدا گسترش دهند.

مربوط: ۸ کلاهبرداری رمزنگاری یواشکی که هم اکنون در توییتر در حال انجام است

تا به امروز، بیش از ۱۰۰۰۰۰ نفر در اسرائیل، آلمان، بریتانیا، ایالات متحده، سریلانکا، قبرس، استرالیا، یونان، ترکیه، مغولستان و لهستان قربانی بدافزار شده‌اند.

برای جلوگیری از کلاهبرداری توسط این بدافزار و بدافزار مشابه، هوروویتز گفت که برخی نکات امنیتی اولیه می تواند به کاهش خطر کمک کند.

مراقب دامنه‌های مشابه، غلط‌های املایی وب‌سایت و فرستنده‌های ایمیل ناآشنا باشید. نرم‌افزار را فقط از ناشران یا فروشندگان شناخته‌شده و مورد تأیید دانلود کنید و مطمئن شوید که امنیت نقطه پایانی شما به‌روز و جامع است. مطمئن شوید که محافظت می‌کنید. “

نویسنده: Stephen Katte