×

Турецкая компания использует Яндекс и Google для распространения вредоносного ПО на протяжении 3 лет

Турецкая компания использует Яндекс и Google для распространения вредоносного ПО на протяжении 3 лет

Хакеры объединили несколько способов атак и создали, возможно, идеальное вредоносное ПО.

Исследователи Check Point приписали тюркоязычную организацию Nitrokod к активной кампании по добыче криптовалюты, которая включает в себя использование поддельных настольных приложений-дропперов для заражения более 111 000 жертв в 11 странах с 2019 года.

Вице-президент по исследованиям Check Point Майя Горовиц заявила , что вредоносные инструменты могут быть использованы кем угодно. Их можно найти с помощью поиска в Интернете, загрузить по ссылке и установить двойным щелчком мыши.

Кампания затронула жертв в следующих странах: Великобритания, США, Шри-Ланка, Греция, Израиль, Германия, Турция, Кипр, Австралия, Монголия и Польша.

Вредоносное ПО распространяется через бесплатное ПО, размещенное на популярных сайтах, таких как Softpedia и Uptodown. Примечательно, что вредоносное ПО откладывает свое выполнение на недели и отделяет свою вредоносную активность от загруженного поддельного ПО, чтобы избежать обнаружения.


Схема заражения Nitrokod

После установки зараженной программы происходит развертывание исполняемого файла обновления на диске, который запускает 4-ехэтапную последовательность атаки, при которой каждый дроппер готовит следующий, пока вредоносное ПО не будет удалено на седьмом этапе.

После запуска вредоносной программы устанавливается соединение с удаленным сервером управления и контроля (C&C) для получения файла конфигурации, чтобы инициировать криптоджекинг.


Поддельные программы-дропперы

Отличительной чертой кампании Nitrokod является то, что поддельное ПО предназначено для сервисов, у которых нет официальной настольной версии:

  • Яндекс.Переводчик;
  • Google Translate;
  • Microsoft Translate;
  • YouTube Music;
  • MP3 Download Manager;
  • Pc Auto Shutdown.

Кроме того, вредоносное ПО удаляется почти через месяц после первоначального заражения, когда удаляется криминалистический след. Это затрудняет анализ атаки и ее отслеживание до установщика.

Горовиц заявила, что хакер может легко изменить конечную полезную нагрузку атаки, изменив ее с криптомайнера на программу-вымогатель или банковский троян.

Хакер взломал PlayStation 5 и выпустил эксплойт для консоли

Эксплоит будет полезен тем, кто хочет изучить внутреннюю систему PS5.

Стажер АНБ арестован за попытку продать секреты США иностранному правительству

Арестованному грозит смертная казнь или пожизненное заключение.

Китайские хакеры нанесли удар по цепочке поставок Comm100 Live Chat

Какое-то время вместе с программой можно было получить неприятный “подарок” в виде трояна.