In un’importante violazione della sicurezza informatica scoperta di recente, dal 2019 gli hacker hanno utilizzato una falsa app di Google Translate per infettare migliaia di PC Windows con un malware per estrarre illegalmente criptovalute senza l’autorizzazione dell’utente.
Questo malware di cryptojacking è stato creato da una società turca chiamata Nitrokod. Il malware estrae criptovalute utilizzando l’unità di elaborazione grafica (GPU) dell’host, senza l’autorizzazione dell’utente. Secondo un rapporto della società di ricerca sulla sicurezza informatica Check Point Research, il malware ha infettato migliaia di computer Windows in tutto il mondo. Questo processo utilizza una quantità significativa di energia per estrarre illegalmente criptovalute senza l’autorizzazione dell’utente.
“Il malware è stato prelevato da applicazioni popolari, ma che non hanno una vera e propria versione desktop, come Google Translate, mantenendo le versioni del malware richieste ed esclusive“, spiega Moshe Marehe Point, analista malware di Check Point.
Come vengono colpiti gli utenti?
Dopo che l’utente ha installato l’applicazione infettata dal malware sul computer, l’applicazione installa la versione reale di Google translate e utilizza chromium.
Google translate e, utilizzando il codice chromium, traduce la pagina Web dall’effettivo programma Google Translate. In questo modo gli hacker possono dare funzionalità ai loro programmi infetti da malware. A ogni avvio del sistema viene inviato un controllo programmato degli aggiornamenti.
Poi, gli hacker aspettano pazientemente un mese per installare il software di mining, in modo che l’utente non rilevi alcuna attività insolita nell’utilizzo dell’energia.
In primo luogo, viene inviato al dominio Nitrokod un messaggio post-installazione sulle informazioni della macchina infetta. Quindi, viene installato un controllore di aggiornamenti programmati, che effettua un controllo con il dominio Nitrokod a ogni avvio del sistema.
