Categorie
Tech

Nitrokod, il cryptominer che si nasconde in app desktop false

Tempo di lettura: 3 minuti. Presi di mira migliaia di utenti in tutto il mondo per estrarre criptovaluta Monero dai dispositivi infetti

Tempo di lettura: 3 minuti.

Check Point Research (CPR) ha rilevato una campagna cryptomining con sede in Turchia, soprannominata Nitrokod, che potrebbe aver infettato macchine in tutto il mondo.

Software Nitrokod

Attivo dal 2019, Nitrokod (Nitrokod[.]com) è una piattaforma di sviluppo di software che afferma di offrire versioni gratuite e sicure di prodotti popolari che non dispongono di una versione desktop ufficiale, come ad esempio, l’applicazione Google Translate Desktop (Google non ha rilasciato una versione desktop ufficiale).

La maggior parte di questi programmi sviluppati sono facilmente compilabili dalle pagine Web ufficiali utilizzando un framework basato su Chromium, offrendo in tal modo agli attaccanti la possibilità di diffondere programmi senza doverli sviluppare.

La campagna malevola

La campagna mira a distribuire il malware con software gratuiti disponibili su siti Web popolari come Softpedia e uptodown e indicizzati per ricerche Google. L’esca principale consiste proprio nell’offrire per determinate app legittime delle versioni desktop.

Queste applicazioni pur risultando sicure e pulite su alcuni siti, sono in realtà trojanizzate e contengono un meccanismo ritardato per scatenare una infezione a più stadi che termina con il rilascio di un malware crittografico.

Dopo l’installazione iniziale del software, gli aggressori hanno ritardato il processo di infezione per settimane e cancellato tracce dall’installazione originale. Ciò ha permesso alla campagna di operare con successo sotto il radar per anni“. Si legge sul rapporto CPR.

La catena d’infezione

Gli attaccanti aspettano pazientemente prima di lanciare il malware e la catena d’infezione prevede 7 fasi deputate a scopi ben precisi.

  1. Installazione web. La fase iniziale della campagna inizia con il download di uno dei programmi infettati da Nitrokod;
  2. Installer. Dopo l’installazione, l’installer verifica se è già presente il dropper update.exe di terza fase. Se il file non esiste allora viene rilasciato. Imposta un’attività di pianificazione per avviare l’aggiornamento a ogni avvio del sistema e invia un messaggio di post installazione al dominio Nitrokod con alcune informazioni sulla macchina infetta, tramite richieste HTTP GET;
  3. Dropper ritardato. Il dropper update.exe è programmato per essere eseguito almeno cinque giorni dopo l’avvenuta installazione dell’applicazione, per estrarre da un file RAR crittografato il dropper di 4a fase chainlink1.07.exe;
  4. Attività pianificate e cancellazione log. Il dropper di 4a fase è incaricato di creare quattro diverse attività di pianificazione e di cancellare tutti i registri di sistema utilizzando il comando di PowerShell Clear-EventLog. La fase successiva (5) della catena di infezione continuerà dopo 15 giorni con il rilascio del dropper di 5a fase ;
  5. Esclusione Firewall e Windows Defender. Il dropper della fase 5 controlla se determinati programmi sono installati sulla macchina infetta, aggiunge una regola firewall per consentire le connessioni di rete in entrata per un programma che verrà rilasciato nella fase successiva (nniawsoykfo.exe), disattiva l’attività di Windows Defender su una cartella temporanea, estrae ed esegue il dropper di 6a fase;
  6. Miner dropper. Il dropper della fase 6 ha il compito di rilasciare tre file (exe – Il malware che controlla il minatore, exe – Minatore di criptovalute XMRig e sys – che fa parte di XMRig) e impostare un’attività di pianificazione per avviare il malware ogni giorno;
  7. Cryptomining malware. Il malware una volta in esecuzione si connette al suo server C2 per ottenere una configurazione per il cryptominer XMRig avviando l’attività di mining.

.

Come bonificare le macchine infette

Per la bonifica Check Point Research raccomanda la seguente procedura:

  • Rimuovere da system32 i file il cui nome riporti le parole chainlink e exe (exe – Il malware che controlla il minatore, exe – Minatore di criptovalute XMRig);
  • Rimuovere la cartella C:\ProgramData\Nitrokod per eliminare l’updater;
  • Rimuovere le attività pianificate denominate InstallService\1, InstallService\2, InstallService\3, InstallService\4

IoC

Domain:

Nitrokod[.]com

Intelserviceupdate[.]com

nvidiacenter[.]com

MD5

abe0fb9cd0a6c72b280d15f62e09c776

a3d1702ada15ef384d1c8b2994b0cf2e

668f228c2b2ff54b4f960f7d23cb4737

017781535bdbe116740b6e569657eedf

0cabd67c69355be4b17b0b8a57a9a53c

27d32f245aaae58c1caa52b349bed6fb

Di Salvatore Lombardo

Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. "Education improves Awareness" è il suo motto.

Pronto a supportare l'informazione libera?

Iscriviti alla nostra newsletter // Seguici gratuitamente su Google News
Exit mobile version