Check Point Research (CPR), il team di ricerca del fornitore di cybersicurezza americano-israeliano Check Point Software Technologies, ha scoperto un malware per il mining di Monero soprannominato “Nitrokod” che ha infettato subdolamente i computer di 11 Paesi dal 2019.
In un rapporto, il team di ricerca ha dichiarato che il malware spesso si maschera da versioni desktop di applicazioni popolari come Google Translate, YouTube Music e Microsoft Translate. Queste versioni fasulle sono disponibili su decine di siti web per il download di software gratuito, tra cui Softpedia e Uptodown.
Nel caso della falsa applicazione desktop di Google Translate, su cui il team ha basato le proprie scoperte, la ricerca rileva che l’entità con sede in Turchia che gestisce la campagna di malware per l’estrazione di risorse digitali conta sulla mancanza di un’applicazione desktop ufficiale per attirare gli utenti verso l’applicazione.
“La maggior parte dei programmi offerti da Nitrokod sono software popolari che non hanno una versione desktop ufficiale. Ad esempio, il programma Nitrokod più popolare è l’applicazione desktop Google Translate. Google non ha rilasciato una versione desktop ufficiale, rendendo la versione degli aggressori molto attraente”, si legge nel rapporto.
Lo studio ha rilevato che la campagna di malware è rimasta finora inosservata a causa del suo funzionamento. Il malware ritarda l’avvio dell’operazione di estrazione furtiva di risorse digitali per diverse settimane dopo il download iniziale del software. Lo fa utilizzando un meccanismo di attività pianificate che attiva l’installazione del malware per diversi giorni e fasi, eliminando al contempo le tracce dell’installazione.
Sorprendentemente, gli hacker non hanno nemmeno bisogno di costruire applicazioni false da zero, poiché sono facilmente creabili dalle pagine web ufficiali dei proprietari utilizzando un framework basato su Chromium che consente loro di diffondere programmi funzionali.
Monero sempre più legato ai criminali informatici
Check Point stima che almeno centomila vittime in Israele, Germania, Regno Unito, Stati Uniti, Sri Lanka, Cipro, Australia, Grecia, Turchia, Mongolia e Polonia abbiano inavvertitamente effettuato il mining di Monero (XMR) con la propria CPU.
Nel frattempo, questa non è la prima volta che malware che estraggono in modo insidioso il token della privacy infettano le macchine. In un incidente avvenuto a gennaio, la società di cybersicurezza ReasonLabs con sede a New York ha scoperto che uno di questi malware era mascherato da una versione trapelata del film Marvel “Spiderman: Far from Home”.
Nel frattempo, un rapporto della CNBC rileva che un numero sempre maggiore di criminali informatici ha abbandonato altri asset digitali come BTC per Monero. Sono attratti dal fatto che il token per la privacy nasconde praticamente tutti i dettagli delle transazioni.
Nitrokod, il cryptominer che si nasconde in app desktop false
