มัลแวร์การขุด Crypto แอบบุกรุกคอมพิวเตอร์หลายแสนเครื่องทั่วโลกตั้งแต่ปี 2019 ซึ่งมักจะปลอมแปลงเป็นโปรแกรมที่ถูกต้องตามกฎหมาย เช่น Google Translate ผลการวิจัยใหม่พบว่า
ในรายงานเมื่อวันจันทร์โดย Check Point Research (CPR) ทีมวิจัยสำหรับผู้ให้บริการความปลอดภัยทางไซเบอร์ของอเมริกา-อิสราเอล Check Point Software Technologies เปิดเผยว่ามัลแวร์ได้รับ การบิน ภายใต้เรดาร์เป็นเวลาหลายปี ส่วนหนึ่งเป็นเพราะการออกแบบที่ร้ายกาจซึ่งทำให้การติดตั้งล่าช้า การทำเหมือง crypto มัลแวร์เป็นเวลาหลายสัปดาห์หลังจากการดาวน์โหลดซอฟต์แวร์ครั้งแรก
.@_ซีพีรีเสิร์ช_ ตรวจพบ a #crypto คนขุดแร่ # มัลแวร์ แคมเปญที่อาจติดไวรัสหลายพันเครื่องทั่วโลก ขนานนามว่า 'Nitrokod' การโจมตีนี้ถูกค้นพบครั้งแรกโดย Check Point XDR รับรายละเอียดที่นี่: https://t.co/MeaLP3nh97 #cryptocurrency #ข่าวเทคโนโลยี #ไซเบอร์เซค pic.twitter.com/ANoeI7FZ1O
- ซอฟต์แวร์จุดตรวจสอบ (@CheckPointSW) สิงหาคม 29, 2022
เชื่อมโยงกับนักพัฒนาซอฟต์แวร์ที่พูดภาษาตุรกีซึ่งอ้างว่าเสนอ "ซอฟต์แวร์ฟรีและปลอดภัย" โปรแกรมมัลแวร์บุกรุกพีซีผ่านแอปยอดนิยมเวอร์ชันเดสก์ท็อปปลอม เช่น YouTube Music, Google Translate และ Microsoft Translate
เมื่อกลไกงานตามกำหนดการเรียกกระบวนการติดตั้งมัลแวร์ มันจะต้องผ่านหลายขั้นตอนอย่างต่อเนื่องในช่วงหลายวัน ซึ่งลงท้ายด้วย Monero ล่องหน (XMR) กำลังตั้งค่าการดำเนินการขุด crypto
บริษัทรักษาความปลอดภัยทางไซเบอร์กล่าวว่าผู้ขุดคริปโตในตุรกีชื่อ 'Nitrokod' มีเครื่องติดไวรัสใน 11 ประเทศ
ตาม CPR ไซต์ดาวน์โหลดซอฟต์แวร์ยอดนิยมเช่น Softpedia และ Uptodown มีการปลอมแปลงภายใต้ชื่อผู้เผยแพร่ Nitrokod INC
มีการดาวน์โหลดโปรแกรมบางโปรแกรมหลายแสนครั้ง เช่น Google Translate เวอร์ชันเดสก์ท็อปปลอมบน Softpedia ซึ่งมีบทวิจารณ์เกือบพันรายการ ได้คะแนนเฉลี่ย 9.3 เต็ม 10 แม้ว่า Google จะไม่มีเดสก์ท็อปอย่างเป็นทางการ รุ่นสำหรับโปรแกรมนั้น
ตาม Check Point Software Technologies การนำเสนอแอพเวอร์ชันเดสก์ท็อปเป็นส่วนสำคัญของการหลอกลวง
โปรแกรมส่วนใหญ่ที่นำเสนอโดย Nitrokod ไม่มีเวอร์ชันเดสก์ท็อป ทำให้ซอฟต์แวร์ปลอมดึงดูดผู้ใช้ที่คิดว่าพวกเขาพบโปรแกรมที่ไม่สามารถใช้งานได้ในที่อื่น
ตามที่ Maya Horowitz รองประธานฝ่ายวิจัยของ Check Point Software กล่าว มัลแวร์ปลอมยังมีให้บริการ "โดยการค้นหาเว็บอย่างง่าย"
“สิ่งที่น่าสนใจที่สุดสำหรับฉันคือความจริงที่ว่าซอฟต์แวร์ที่เป็นอันตรายนั้นได้รับความนิยมอย่างมาก แต่ยังอยู่ภายใต้เรดาร์เป็นเวลานาน”
ในขณะที่เขียนโปรแกรม Google Translate Desktop เลียนแบบของ Nitrokod ยังคงเป็นหนึ่งในผลการค้นหาหลัก
การออกแบบช่วยหลีกเลี่ยงการตรวจจับ
มัลแวร์นี้ตรวจจับได้ยากเป็นพิเศษ แม้ว่าผู้ใช้จะเปิดใช้ซอฟต์แวร์หลอกลวง ก็ยังไม่มีใครฉลาดกว่าเพราะแอปปลอมสามารถเลียนแบบฟังก์ชันเดียวกันกับที่แอปที่ถูกต้องตามกฎหมายมีให้
โปรแกรมของแฮ็กเกอร์ส่วนใหญ่นั้นสร้างขึ้นอย่างง่ายดายจากหน้าเว็บอย่างเป็นทางการโดยใช้เฟรมเวิร์กที่ใช้ Chromium ทำให้สามารถแพร่กระจายโปรแกรมที่ใช้งานได้ซึ่งเต็มไปด้วยมัลแวร์โดยไม่ต้องพัฒนาตั้งแต่ต้น
ที่เกี่ยวข้อง 8 การหลอกลวง crypto ลับๆล่อๆบน Twitter ตอนนี้
จนถึงตอนนี้ ผู้คนกว่าแสนคนทั่วอิสราเอล เยอรมนี สหราชอาณาจักร สหรัฐอเมริกา ศรีลังกา ไซปรัส ออสเตรเลีย กรีซ ตุรกี มองโกเลีย และโปแลนด์ ต่างตกเป็นเหยื่อของมัลแวร์
Horowitz กล่าวว่าเคล็ดลับการรักษาความปลอดภัยพื้นฐานหลายประการสามารถช่วยลดความเสี่ยงเพื่อหลีกเลี่ยงการถูกมัลแวร์นี้และโปรแกรมอื่นๆ ที่คล้ายคลึงกันหลอกลวง
“ระวังโดเมนที่มีลักษณะคล้ายกัน การสะกดผิดในเว็บไซต์ และผู้ส่งอีเมลที่ไม่คุ้นเคย ดาวน์โหลดเฉพาะซอฟต์แวร์จากผู้เผยแพร่หรือผู้จำหน่ายที่ได้รับอนุญาตและรู้จักเท่านั้น และรับรองว่าการรักษาความปลอดภัยปลายทางของคุณเป็นปัจจุบันและให้การป้องกันที่ครอบคลุม”
ที่มา: https://cointelegraph.com/news/sneaky-fake-google-translate-app-installs-crypto-miner-on-112-000-pcs