Zloćudni kriptorudarski program skrivao se kao aplikacija za prevođenje
Sigurnosni stručnjaci otkrili su program koji se lažno predstavljao kao desktop klijent za Google Translate, a po instaliranju na računalo pokretao je sustav za rudarenje kriptovaluta
Stručnjaci sigurnosne kompanije Check Point Research otkrili su krajem prošlog mjeseca turski "crypto miner", koji je bio iznimno vješt u skrivanju svojih aktivnosti na računalima. Kao prvo, autori ovog zloćudnog programa postavili su ga unutar desktop aplikacije, koja je pak izgledala kao desktop klijent za online sustav prevođenja teksta, Google Translate. Kada su korisnici pretraživali Google u nadi da će naći njihovu desktop inačicu servisa za prevođenje, prvi link ispod onog službenog vodio je na sumnjivi softver Nitrokod.
Malware aktiviran nakon mjesec dana
Aplikacija koju su korisnici preuzimali poslužila je kao Trojanac, što znači da je kasnije na računalo instalirala zloćudne nametnike. U ovom slučaju riječ je bila o softveru za neovlašteno rudarenje kriptovaluta, "crypto mineru", koji se aktivirao čak mjesec dana po instalaciji primarnog softvera. Ta odgoda trebala je poslužiti za zavaravanje, odnosno za težu detekciju napada. U međuvremenu je na napadnuto računalo nastanjivano nekoliko zloćudnih programa, s ciljem otkrivanja antivirusnih rješenja, otvaranja mrežnih komunikacija i slično.
Nakon što je miner napokon instaliran, izbrisao je za sobom sve tragove tih ranijih instalacija, kako bi dodatno prikrio tragove. Turski su hakeri u svemu tome bili prilično uspješni, jer Check Point Research kaže da je njihova operacija trajala najmanje od 2019. godine.
Nitrokod je od tada na webu nudio razne desktop aplikacije, navodno "besplatne i sigurne", za one usluge čiji vlasnici nisu nudili vlastite desktop inačice. Unutar aplikacija nalazio se tek programski kod dobiven s webova službenih servisa, što znači se ovi hakeri nisu morali posebno potruditi kako bi aplikacije izgledale legitimno. Od svega su u konačnici imali i financijske koristi, jer se rudarenje na tuđim računalima izvodilo za račun napadača. Detalji napada objavljeni su na stranicama Check Point Researcha.
