Campanha de mineração Nitrokod passou anos sem ser detectada; cibercriminosos usam Google Tradutor e outros serviços populares para distribuir malware.

Muitos apps rodam em navegadores, sem precisar de instalação. Mesmo assim, algumas pessoas procuram estes programas para baixar, como era comum há alguns anos. Cibercriminosos se aproveitaram disso para criar versões instaláveis do Google Tradutor e de outros programas, mas com uma surpresa: um malware que minera criptomoedas.

A campanha foi descoberta pela Check Point Research em julho de 2022. Conhecida como Nitrokod, ela está ativa desde 2019 e pode ter infectado milhares de computadores em 11 países. Um grupo turco está por trás dos ataques.

O malware da Nitrokod usa o Google Tradutor e outros serviços famosos que funcionam apenas na web, sem precisar de instalação. Outros produtos também foram usados para disfarçar o ataque, como o Microsoft Tradutor, o YouTube Music e programas para baixar MP3.

Segundo a Check Point, os programas de fachada são construídos de maneira fácil: dá para converter o Tradutor da web para o desktop usando o Chromium Embedded Framework, por exemplo. Assim, os criminosos não têm nem mesmo o trabalho de desenvolver um software.

Esses programas chegaram a sites populares de download, como a Softpedia. A plataforma diz que o Google Translator Desktop do Nitrokod foi baixado mais de 112 mil vezes desde dezembro de 2019.

Além disso, ao criar versões de serviços populares, os criminosos se aproveitam do alto volume de buscas. O Google Translator Desktop falso, por exemplo, estava no topo dos resultados de pesquisa do próprio Google.

O objetivo do grupo é usar computadores para minerar a criptomoeda Monero, transferindo os valores para as carteiras dos cibercriminosos. O processo até isso, porém, é bastante lento e cuidadoso.

Malware infecta computador aos pouquinhos

Uma característica do Nitrokod que chamou a atenção dos pesquisadores da Check Point foi a “paciência” do malware. Ele só é baixado depois de outras seis fases de infecção, e só executado quase um mês após a instalação do Google Tradutor falso.

Além disso, ele é baseado em tarefas agendadas, que rodam em intervalos de um a quinze dias. Os pacotes baixados vêm em arquivos RAR com senha.

O programa também para de funcionar caso encontre produtos de segurança ou processos de máquinas virtuais, porque isso pode indicar que ele está sendo analisado por pesquisadores.

Com isso, os criminosos conseguem esconder as evidências do malware. Não por acaso, a ameaça levou anos para ser detectada.

Com informações: Check Point Research, The Register

Fonte: Tecnoblog