Descripción

La empresa turca Nitrokod está acusada de extraer activamente criptomonedas de más de 111 000 usuarios en 11 países (Reino Unido, EE. UU., Sri Lanka, Grecia, Israel, Alemania) al engañar a la versión de escritorio de Google Translate. , Turquía, Chipre, Australia, Mongolia y Polonia), 2019.

Además de Google Translate, Nitrokod tiene otras cinco aplicaciones de escritorio falsas. La mayoría de ellos imitan programas que no están disponibles oficialmente como aplicaciones de escritorio, sino como aplicaciones web o móviles, lo que hace que las versiones de escritorio creadas por los atacantes sean particularmente atractivas. De todos modos, todas son aplicaciones populares que se pueden encontrar en sitios como Softpedia y UpToDown.

Seis aplicaciones falsas disponibles en la web de Nitrokod.

«Cualquiera puede usar las herramientas maliciosas. Es posible encontrarlas mediante una simple búsqueda, descargarlas desde un enlace e instalarlas con un doble clic.»

Maya Horowitz, presidente de investigación en Check Point a The Hacker News

Al instalar cualquiera de estos programas, los efectos maliciosos no se manifiestan hasta después de una secuencia de descargas de droppers durante casi un mes tras la instalación, a fin de ocultar tales efectos a los antivirus.

Proceso de infección

Descargue el instalador de cualquier programa del sitio web de Nitrokod (por ejemplo, GoogleTranslateDesktop.exe) y ejecútelo, y descargará un archivo RAR cifrado alojado en el dominio de Nitrokod. Después de desempaquetar, aparece un segundo instalador (por ejemplo, GoogleTranslateDesktop2.50.exe) que verifica la versión de los programas instalados y descarga la primera versión (update.exe). Finalmente, envía una solicitud HTTP al dominio de Nitrokod con información sobre la máquina infectada como parámetro de URL.
 
Cinco días después de la instalación, se ejecuta update.exe cada vez que se inicia un sistema infectado. El ejecutable comprueba si la última fecha de ejecución de update.exe coincide con el día actual y, cuando lo hace cuatro veces, descarga el segundo cuentagotas, chainlink1.07.exe. Por lo tanto, se necesitan al menos cuatro reinicios en días diferentes para desencadenar una actividad maliciosa. Esta estrategia es una excelente manera de usar sandboxes para evitar la detección de malware, ya que los sandboxes permanecen inactivos durante días sin reiniciarse.
 
chainlink1.07.exe es responsable de crear cuatro tareas recurrentes en el programador de tareas:

Nombre Descripción Frecuencia
InstallService1 Descargar un fichero RAR cifrado usando wget Cada 15 días
InstallService2 Extraer el tercer dropper del fichero RAR Cada 2 días
InstallService3 Ejecutar el tercer dropper Cada día
InstallService4 Limpiar los logs del sistema Cada 3 días

Tareas que crea el dropper chainlink1.07.exe.

Después de crear la tarea, ejecutar chainlink1.07.exe borra el registro del sistema y elimina los ejecutables chainlink1.07.exe y update.exe y todos los archivos relacionados. La siguiente etapa del proceso de infección comienza con la descarga, extracción y ejecución del tercer cuentagotas en al menos 15 días. De esta forma, la primera fase del ataque se separa de las siguientes, lo que dificulta rastrear la cadena de infección y bloquear el ejecutable original.

Cuando se ejecuta
 el tercer cuentagotas, busca en la máquina infectada algunos procesos relacionados con máquinas virtuales o productos de seguridad de red y, si encuentra alguno en su lista, finaliza la ejecución. Por el contrario, si no, se agrega una regla al firewall del sistema operativo que permite que las conexiones descarguen un cuarto cuentagotas llamado nniawsoykfo.exe y lo ejecuten con Windows Defender deshabilitado.

El
 cuarto cuentagotas es responsable en última instancia de descargar el malware de minería de criptomonedas real (powermanager.exe) y programarlo para que se ejecute diariamente. Después de verificar los productos de seguridad de red instalados en la máquina y si es una computadora portátil o de escritorio, powermanager.exe se conecta al servidor de comando y control (C&C) nvidiacenter[.]com para recibir instrucciones del atacante.

Conclusiones

Como puede ver, la preparación para el ataque consistió en varias etapas y la minería no comenzó hasta casi un mes después de que se instaló el instalador. Para entonces, el malware ha eliminado la evidencia, lo que dificulta la detección de la infección y el seguimiento de su comportamiento para identificar su origen.

 


© Copyright. Todos los derechos reservados.