Check Point Research, división de inteligencia de amenazas de Check Point Software Technologies, descubrió una campaña activa de minería de criptomonedas que imita a Google Desktop Translate y otros softwares gratuitos, para infectar los computadores. Creada por un grupo turco llamado Nitrokod, la campaña ya ha cobrado unas 111.000 víctimas.
Nitrokod lanza el malware desde software gratuito disponible en sitios web populares como Softpedia y uptodown. Además, el software malicioso también puede encontrarse fácilmente a través de Google cuando los usuarios buscan “Descargar Traductor Google Desktop”. Tras la instalación inicial del software, los atacantes retrasan el proceso de infección durante semanas, eliminando los rastros de la instalación original.
Según explicaron desde Check Point Research, la campaña comenzó hace dos años pero durante los últimos meses ha tenido un preocupante crecimiento. Para evitar su detección, Nitrokod ha implementado algunas estrategias clave, como ejecutar el malware por primera vez casi un mes después de la instalación del programa y lograr que la cadena de infección continúe tras un largo retraso, utilizando un mecanismo de tareas programadas para dar tiempo a los atacantes a eliminar todas sus pruebas.
La cadena de infección comienza con la instalación de un programa infectado descargado de la web, que introduce un archivo de actualización en el disco que inicia una serie de cuatro droppers hasta que se suelta el malware real. Una vez ejecutado el malware, éste se conecta a su servidor de C&C (Comando y Control) para obtener una configuración para el programa de minado de criptomonedas XMRig e inicia la actividad.
Para proteger a los usuarios de este y otro tipo de ataques maliciosos, desde Check Point entregan los siguientes consejos:
– Tener cuidado con los dominios parecidos, los errores ortográficos en los sitios web y los remitentes de correo electrónico desconocidos.
– Descargar software solo de editores y proveedores autorizados y conocidos.
– Prevenir los ataques de día cero con una arquitectura cibernética integral, de principio a fin.
– Asegurarse de que la seguridad del endpoint está actualizada y proporciona una protección completa.
Frente a esta campaña de malware, Maya Horowitz, Vicepresidenta de Investigación en Check Point Software, explicó: “Descubrimos un sitio web que ofrece versiones maliciosas a través de imitaciones de aplicaciones para PC, incluyendo Google Desktop y otras, que incluyen un programa de minería de criptomonedas. Hemos bloqueado la amenaza para los clientes de Check Point, y publicamos este informe para que otros puedan estar protegidos también”.
