El minero de criptomonedas Nikotrod simula ser software gratuito
septiembre 6, 2022Una nueva campaña de criptominería salió a la luz, la cual ha infectado miles de sistemas en alrededor de 11 países. El minero ofrece versiones de escritorio de software conocido. Diversos investigadores de seguridad notificaron una campaña, en curso desde 2019, que se propaga a través de aplicaciones de escritorio encubiertas para Google Translate. Esta […]
Una nueva campaña de criptominería salió a la luz, la cual ha infectado miles de sistemas en alrededor de 11 países. El minero ofrece versiones de escritorio de software conocido.
Diversos investigadores de seguridad notificaron una campaña, en curso desde 2019, que se propaga a través de aplicaciones de escritorio encubiertas para Google Translate.
Esta acción maliciosa ha infectado a más de 111 000 víctimas hasta la fecha en 11 países. La campaña sirve malware a través de software gratuito alojado en sitios como Uptodown y Softpedia.
El ejecutable inicia una secuencia de ataque de cuatro etapas, cada cuentagotas tirando del siguiente. Esto eventualmente lleva a que la descarga de malware real (XMRig) caiga en la séptima etapa.
Se han identificado víctimas de distintos países, tanto de América como Europa y Asia.
En concreto, se observó a los ciberdelincuentes ofreciendo aplicaciones de escritorio falsas, que no tienen una versión de escritorio oficial. Incluye YouTube Music, Yandex Translate, Microsoft Translate y más.
El malware se elimina casi después de un mes de la infección inicial.
El cuentagotas de la etapa 3 se ejecuta después de un intervalo de cinco días, mientras que el cuentagotas de la cuarta etapa crea además cuatro tareas programadas con un intervalo de 1 a 15 días. Después de la creación de estas tareas, las etapas se eliminan.
Esto hace que sea muy difícil para los investigadores identificar el ataque y rastrearlo hasta el instalador falso. Además, el malware establece una conexión con un servidor C2 remoto para obtener un archivo de configuración para iniciar la actividad minera usando XMRig.
Artículos relacionados
Evilproxy, una campaña de phishing as-a-service capaz de eludir MFA detectado en la dark web
6 de septiembre de 2022Tras el reciente ataque a la compañía de servicios en la nube ”Twilio”, que condujo a la filtración de códigos 2FA (OTP), los ciberdelincuentes continúan actualizando su arsenal de ataques para orquestar campañas de phishing avanzadas dirigidas a todo tipo de usuarios alrededor del mundo.
