Nitrokod: Ingyenes alkalmazás, kártevővel
A Check Point Research kutatói felfedeztek egy török hátterű kampányt, amelyet Nitrokod néven követnek. A Nitrokod valószínűleg több ezer gépet fertőzött meg világszerte 2019 óta. A kampány középpontjában számos hasznos segédprogram áll. A török nyelvű szereplő által létrehozott kampány ingyenes letölthető segédprogramokat használ, amelyek könnyen elérhetőek a Google kereséssel is.
Az alkalmazások valódi jogszerű alkalmazásoknak tűnnek, de valójában rosszindulatúak és késleltetett mechanizmust tartalmaznak egy hosszú, többlépcsős fertőzés elindítására, amely egy crypto kártevővel végződik. Az alkalmazás telepítése után hetekre késleltetik a fertőzési folyamatot, és törlik a nyomokat az eredeti telepítésből, ami lehetővé tette számukra, hogy évekig lopva működjenek. A kampány a kutatók szerint az Egyesült Királyságban, az Egyesült Államokban, Srí Lankán, Görögországban, Izraelben, Németországban, Törökországban, Cipruson, Ausztráliában, Mongóliában és Lengyelországban élő áldozatokat vett leginkább célba.
A kampány figyelemre méltó jellemzője, hogy a Nitrokod által kínált rosszindulatú szoftverek olyan népszerű programok, amelyek nem rendelkeznek hivatalos asztali verzióval, mint például a Yandex Translate, a Microsoft Translate, a YouTube Music, az MP3 Download Manager és a PC Auto Shutdown.
Az új szoftver futtatása után egy tényleges Google Fordító alkalmazás kerül telepítésre. Ezenkívül a rendszer feldob egy frissítést, amely négy részből álló sorozatot indít el a tényleges kártevő letöltéséig. Végrehajtáskor a rosszindulatú program csatlakozik a parancs- és vezérlőszerveréhez, hogy lekérje az XMRig crypto miner konfigurációját, és megkezdje a bányászati tevékenységet.