Un malware di Windows ritarda di un mese l'installazione di coinminer per eludere il rilevamento

Vai ai contenuti

Un malware di Windows ritarda di un mese l'installazione di coinminer per eludere il rilevamento

3D.A. CLOUD Internet Provider FIBRA FTTH VDSL VoIP Kaspersky Antivirus WatchGuard Antivirus SPID PEC Firma_Digitale Certificati SSL Brescia Concesio
*Un malware di Windows ritarda di un mese l'installazione di coinminer per eludere il rilevamento*

È stata trovata una nuova campagna di malware mascherata da Google Translate o programmi di download di MP3 che distribuisce malware di mining di criptovalute in 11 paesi.

Le applicazioni false vengono distribuite attraverso siti di software gratuiti legittimi, fornendo un'ampia esposizione alle applicazioni dannose sia ai visitatori regolari dei siti che ai motori di ricerca.

Secondo un rapporto di Check Point, il malware è stato creato da uno sviluppatore chiamato "Nitrokod", che a prima vista sembra essere privo di malware e fornisce la funzionalità pubblicizzata.

Baker & Taylor, azienda leader di servizi di biblioteca, è stata colpita da un ransomware
Tuttavia, Check Point afferma che il software ritarda di proposito l'installazione dei componenti malware dannosi fino a un mese per eludere il rilevamento.

Sfortunatamente, le offerte di Nitrokod sono in cima ai risultati della Ricerca Google, quindi il sito Web funge da eccellente trappola per gli utenti che cercano un'utilità specifica.

BleepingComputer ha contattato l'amministratore di Nitrokod all'indirizzo di contatto indicato, ma non abbiamo ancora ricevuto alcun commento da parte loro.

Inoltre, come scoperto da Check Point, anche l'applet Google Translate di Nitrokod è stata caricata su Softpedia, dove ha raggiunto oltre 112.000 download.

Catena di infezione
Indipendentemente dal programma scaricato dal sito Web Nitrokod, l'utente riceve un RAR protetto da password che elude il rilevamento AV e contiene un eseguibile che prende il nome dall'app selezionata.

Dopo aver eseguito il file, il software viene installato sul sistema dell'utente insieme a due chiavi di registro, a

Successivamente, il software cancella tutti i registri di sistema utilizzando i comandi di PowerShell e, dopo altri 15 giorni, recupera il file RAR crittografato successivo da "intelserviceupdate[.]com".

Cronologia delle fasi dell'infezione
Il contagocce della fase successiva verifica la presenza di software antivirus, ricerca i processi che potrebbero appartenere a macchine virtuali e infine aggiunge una regola del firewall e un'esclusione a Windows Defender.

Regola del firewall per esentare le comunicazioni malware dal controllo (Check Point)
Ora che il dispositivo è stato preparato per il payload finale, il programma carica l'ultimo contagocce, che recupera un altro file RAR contenente il malware di mining XMRig, il suo controller e un file ".sys" con le sue impostazioni.

Il malware determina se è in esecuzione su un desktop o laptop, quindi si connette al suo C2 ("nvidiacenter[.]com") e invia un rapporto completo del sistema host tramite richieste HTTP POST.

Infine, il C2 risponde con istruzioni come se attivare, quanta potenza della CPU utilizzare, quando eseguire nuovamente il ping di C2 o quali programmi controllare e uscire se trovati.

Come stare al sicuro
Il malware di mining di criptovalute può rappresentare un rischio in quanto può danneggiare l'hardware causando stress e surriscaldamento dell'hardware e può influire sulle prestazioni del computer utilizzando risorse CPU aggiuntive.

Inoltre, i contagocce di malware scoperti da Check Point possono scambiare il payload finale con qualcosa di molto più pericoloso in qualsiasi momento.

Per proteggerti, evita di scaricare app che promettono funzionalità non ufficialmente rilasciate dallo sviluppatore originale, come una versione desktop dello strumento di traduzione di Google.



3D.A.
Un Solo Fornitore
3D.A. di Domeneghini Angelo - Via G. Zanardelli, 80/82 - cap. 25062 Concesio (Bs) - Tel +39 030 2008860 -
Fax 030 20 60 925 - P.I: 03307780175
Torna ai contenuti