Please enable JS

Blog

App falso do Google Tradutor instala malware para minerar criptomoedas

1 de setembro de 2022 / Tecnologia / por Comunicação Krypton BPO

Campanha de mineração Nitrokod passou anos sem ser detectada; cibercriminosos usam Google Tradutor e outros serviços populares para distribuir malware.

Muitos apps rodam em navegadores, sem precisar de instalação. Mesmo assim, algumas pessoas procuram estes programas para baixar, como era comum há alguns anos. Cibercriminosos se aproveitaram disso para criar versões instaláveis do Google Tradutor e de outros programas, mas com uma surpresa: um malware que minera criptomoedas.

A campanha foi descoberta pela Check Point Research em julho de 2022. Conhecida como Nitrokod, ela está ativa desde 2019 e pode ter infectado milhares de computadores em 11 países. Um grupo turco está por trás dos ataques.

O malware da Nitrokod usa o Google Tradutor e outros serviços famosos que funcionam apenas na web, sem precisar de instalação. Outros produtos também foram usados para disfarçar o ataque, como o Microsoft Tradutor, o YouTube Music e programas para baixar MP3.

Segundo a Check Point, os programas de fachada são construídos de maneira fácil: dá para converter o Tradutor da web para o desktop usando o Chromium Embedded Framework, por exemplo. Assim, os criminosos não têm nem mesmo o trabalho de desenvolver um software.

Esses programas chegaram a sites populares de download, como a Softpedia. A plataforma diz que o Google Translator Desktop do Nitrokod foi baixado mais de 112 mil vezes desde dezembro de 2019.

Além disso, ao criar versões de serviços populares, os criminosos se aproveitam do alto volume de buscas. O Google Translator Desktop falso, por exemplo, estava no topo dos resultados de pesquisa do próprio Google.

O objetivo do grupo é usar computadores para minerar a criptomoeda Monero, transferindo os valores para as carteiras dos cibercriminosos. O processo até isso, porém, é bastante lento e cuidadoso.

Malware infecta computador aos pouquinhos

Uma característica do Nitrokod que chamou a atenção dos pesquisadores da Check Point foi a “paciência” do malware. Ele só é baixado depois de outras seis fases de infecção, e só executado quase um mês após a instalação do Google Tradutor falso.

Além disso, ele é baseado em tarefas agendadas, que rodam em intervalos de um a quinze dias. Os pacotes baixados vêm em arquivos RAR com senha.

O programa também para de funcionar caso encontre produtos de segurança ou processos de máquinas virtuais, porque isso pode indicar que ele está sendo analisado por pesquisadores.

Com isso, os criminosos conseguem esconder as evidências do malware. Não por acaso, a ameaça levou anos para ser detectada.

Com informações: Check Point Research, The Register

Fonte: Tecnoblog

Posts relacionados

Empresa brasileira desenvolve monóculo capaz de captar o calor emitido pelo corpo

11 de novembro de 2024 / Tecnologia / por Comunicação Krypton BPO

Conheça os golpes mais comuns no Simples Nacional e como combatê-los

11 de novembro de 2024 / Tecnologia / por Comunicação Krypton BPO

5 formas de usar a tecnologia ao seu favor no trabalho

7 de novembro de 2024 / Tecnologia / por Comunicação Krypton BPO

Meta desenvolve mecanismo de busca alimentado por IA

5 de novembro de 2024 / Tecnologia / por Comunicação Krypton BPO

Google Maps é turbinado por IA e fica mais esperto; veja o que muda

1 de novembro de 2024 / Tecnologia / por Comunicação Krypton BPO

IA da Meta: WhatsApp vai usar seus dados para treinar chat?

30 de outubro de 2024 / Tecnologia / por Comunicação Krypton BPO

abc