คริปโต

มัลแวร์ Crypto ที่แอบอ้างแอป Google Translate ติดพีซีหลายพันเครื่อง

09/02/2022
ข่าว Bitcoin Ethereum
Crypto malware impersonating Google Translate app infects thousands of PCs

ซอฟต์แวร์ที่เป็นอันตรายที่ออกแบบมาเพื่อขุด cryptocurrency ได้แพร่กระจายไปทั่วอุปกรณ์หลายร้อยเครื่องภายใต้รูปลักษณ์ของแอป Google แปลภาษา

ซอฟต์แวร์ที่เป็นอันตรายซึ่งเรียกว่า "Nitokod" ได้รับการออกแบบให้เป็นโปรแกรมเดสก์ท็อปสำหรับ Google แปลภาษาและสร้างขึ้นโดยองค์กรที่ตั้งอยู่ในตุรกี ตามรายงานของ Check Point Research (CPR) เมื่อวันที่ 29 สิงหาคม

เนื่องจากไม่มีไคลเอ็นต์เดสก์ท็อปอย่างเป็นทางการสำหรับบริการแปลภาษาของ Google ผู้ใช้ Google จำนวนมากจึงดาวน์โหลดโปรแกรมนี้ลงในคอมพิวเตอร์ของตน เมื่อติดตั้งโปรแกรมนี้บนสมาร์ทโฟน โปรแกรมจะเริ่มสร้างธุรกิจการขุดสกุลเงินดิจิทัลที่ซับซ้อนบนอุปกรณ์นั้นทันที 

หลังจากดาวน์โหลดแอปพลิเคชันที่เป็นอันตรายนี้ กระบวนการติดตั้งมัลแวร์จะเริ่มขึ้นโดยใช้กลไกงานที่กำหนดเวลาไว้ ในระยะต่อมา ซอฟต์แวร์ที่เป็นอันตรายนี้จะติดตั้งเครื่องขุดที่ซับซ้อนสำหรับสกุลเงินดิจิทัล Monero (XMR)

ห่วงโซ่การติดเชื้อ ที่มา: จุดตรวจ

ซอฟต์แวร์การขุดใช้ Proof of Work

ซอฟต์แวร์การขุดขึ้นอยู่กับหลักฐานการทำงาน (เชลย) แนวคิดการขุดซึ่งใช้ไฟฟ้าในปริมาณมาก ด้วยเหตุนี้ มันทำให้ผู้ควบคุมแคมเปญนี้เข้าถึงคอมพิวเตอร์ที่ติดไวรัสอย่างลับๆ ได้ ทำให้พวกเขาสามารถหลอกลวงผู้คนและก่อให้เกิดอันตรายต่อระบบในภายหลัง

รายงาน CPR อ้างว่า: “หลังจากที่มัลแวร์ทำงาน มันจะเชื่อมต่อกับเซิร์ฟเวอร์ C&C เพื่อรับการกำหนดค่าสำหรับ XMRig crypto miner และเริ่มกิจกรรมการขุด ซอฟต์แวร์นี้สามารถพบได้ง่ายผ่าน Google เมื่อผู้ใช้ค้นหา 'Google Translate Desktop download' แอปพลิเคชั่นถูกโทรจันและมีกลไกที่ล่าช้าเพื่อปล่อยการติดเชื้อหลายขั้นตอนที่ยาวนาน”

ตามรายงาน มัลแวร์ Nitrokod ได้ส่งผลกระทบต่อเครื่องในอย่างน้อย 11 ประเทศตั้งแต่มีการเผยแพร่ในปี 2019 CPR ยังได้ทวีตการอัปเดตและคำเตือนเกี่ยวกับความพยายามในการขุด crypto 

ตาม Zscaler Threatlabz ​​ไวรัส Joker ซึ่งเป็นมัลแวร์อีกตัวติดเชื้อ 50 แอพใน Google Play Store เมื่อต้นปีนี้ด้วยแนวทางที่คล้ายคลึงกัน พวกเขาถูกลบอย่างรวดเร็วจาก App Store ของ Google ตามที่ทีม Zscaler ThreatLabz พบว่าตระกูลมัลแวร์ Joker, Facestealer และ Coper แพร่กระจายผ่านแอปพลิเคชัน 

เมื่อทีม ThreatLabz แจ้งทีมความปลอดภัยของ Google Android Security เกี่ยวกับอันตรายที่เพิ่งระบุเหล่านี้โดยทันที แอปพลิเคชันที่เป็นอันตรายจะถูกลบออกจาก Google Play Store อย่างรวดเร็ว

อย่างไรก็ตาม แม้ว่าหลายคนใน crypto จะกังวลเกี่ยวกับรายงานเกี่ยวกับการหลอกลวงที่อาจเกิดขึ้นได้ แต่จากการศึกษาเมื่อเร็ว ๆ นี้พบว่ารายได้จากการหลอกลวง cryptocurrency ลดลง 65% และลดลง

ที่มา: https://finbold.com/crypto-malware-impersonating-google-translate-app-infects-thousands-of-pcs/