门罗挖矿恶意软件在谷歌搜索中获得成功

针对搜索 Google 应用程序的用户的阴险恶意软件活动已感染全球数千台计算机，以挖掘以隐私为重点的加密货币门罗币 (XMR)。

您可能从未听说过 Nitrokod。 总部位于以色列的网络情报公司 Check Point Research (CPR) 上个月偶然发现了该恶意软件。

在一个 周日报道，该公司表示，Nitrokod 最初将自己伪装成免费软件，在“谷歌翻译桌面下载”的谷歌搜索结果顶部取得了显着的成功。

挖矿恶意软件也称为加密劫持，至少从 2017 年开始就被用来渗透毫无戒心的用户机器，当时它们随着加密货币的流行而声名鹊起。

CPR 此前曾在当年 11 月检测到著名的加密劫持恶意软件 CoinHive，该恶意软件也挖掘了 XMR。 据说 CoinHive 是在偷窃 最终用户总 CPU 资源的 65% 在他们不知情的情况下。 学者 计算出来的 该恶意软件在高峰期每月产生 250,000 美元，其中大部分流向了不到 12 个人。

至于 Nitrokod，CPR 认为它是由一个土耳其语实体在 2019 年的某个时候部署的。它在沿着其路径移动时跨越七个阶段运行，以避免被典型的防病毒程序和系统防御检测到。

该公司在其报告中写道：“恶意软件很容易从合法应用程序的顶级谷歌搜索结果中找到的软件中删除。”

Softpedia 和 Uptodown 被发现是虚假应用程序的两个主要来源。 Blockworks 已与 Google 取得联系，以了解有关它如何过滤此类威胁的更多信息。

下载应用程序后，安装程序会执行延迟释放程序，并在每次重新启动时不断自我更新。 第五天，延迟释放器提取加密文件。

该文件随后启动 Nitrokod 的最后阶段，该阶段开始安排任务、清除日志并在 15 天过去后向防病毒防火墙添加例外。

最后，加密挖掘恶意软件“powermanager.exe”被偷偷地投放到受感染的机器上，并开始使用基于门罗币的开源 CPU 矿工 XMRig（与 CoinHive 使用的相同）生成加密货币。

该公司在其报告中写道：“在初始软件安装后，攻击者将感染过程延迟了数周，并从原始安装中删除了痕迹。” “这使得该运动能够在雷达下成功运作多年。”

有关如何清洁感染 Nitrokod 的机器的详细信息，请访问 CPR 威胁报告结束.

每天晚上将当天的顶级加密新闻和见解发送到您的收件箱。 订阅 Blockworks 的免费通讯 现在。