مراقب این بدافزار باشید / بیش از 100 هزار رایانه آلوده شدند!

این بدافزار موذی در پوشش یک نرم افزار سالم دسکتاپ فعالیت دارد. اپلیکیشن مخرب، هزاران دستگاه‌را در 11 کشور آلوده‌و آنها را مجبور به استخراج ندانسته‌مونرو (XMR) کرد. در گزارش 29 اوت یک تیم تحقیقاتی اعلام کرد که این بدافزار سال‌ها در زیر رادار پرواز (رصد بدافزاز مخرب) می‌کرد. به علت طراحی موذیانه آن که نصب را به تأخیر می‌اندازد، بدافزار استخراج کریپتو، برای هفته‌ها پس از دانلود نرم‌افزار اولیه پنهان می‌ماند. این بدافزار با یک توسعه‌دهنده نرم‌افزار ترکیه‌ای که ادعا می‌کند «نرم‌افزار رایگان و ایمن» ارائه می‌کند مرتبط است. از طریق نسخه‌های دسکتاپ تقلبی برنامه‌های محبوب مانند YouTube Music، Google Translate و Microsoft Translate به رایانه‌های شخصی حمله می‌کند.

هنگامی که یک مکانیسم برنامه‌ریزی شده فرآیند نصب بدافزار را آغاز می‌کند، به طور پیوسته چندین مرحله طی چند روز پی‌گیری می‌شود. درنهایت با راه‌اندازی عملیات استخراج رمزنگاری مخفیانه مونرو (XMR) خاتمه می‌یابد. این شرکت تحقیقات سایبری اعلام کرد که ماینر ارز دیجیتال مستقر در ترکیه موسوم به "Nitrokod" رایانه‌های 11 کشور را آلوده کرده است.

طبق گزارش کوین‌تلگراف، سایت‌های دانلود نرم‌افزار محبوب مانند Softpedia و Uptodown دارای موارد جعلی تحت نام ناشر "Nitrokod INC" بودند. برخی از برنامه‌ها صدها هزار بار دانلود شدند، مانند نسخه دسکتاپ جعلی گوگل ترنسلیت در سافت پدیا، که حتی با وجود نداشتن صفحه‌رسمی گوگل در این مرجع، نزدیک به هزار نظر در آنجا ثبت شده‌دارد. میانگین امتیاز 9.3 از 10 را نیز به خود اختصاص داده‌است.

طبق گفته‌های رسمی این شرکت تحقیقاتی، ارائه نسخه دسکتاپ برنامه‌ها، بخش کلیدی کلاهبرداری است. بیشتر برنامه‌های ارائه شده‌توسط Nitrokod نسخه دسکتاپ ندارند. این باعث می‌شود که نرم‌افزار تقلبی برای کاربرانی که فکر می‌کنند برنامه‌ای را که در جای دیگری در دسترس نیست، جذاب کند. به گفته‌معاون تحقیقاتی این شرکت، بدافزارهای جعلی پاک شده‌نیز «با یک جست‌وجوی ساده در وب» در دسترس هستند.

طراحی بدافزار به جلوگیری از تشخیص آنها کمک می‌کند!

شناسایی این بدافزار بسیار دشوار است، زیرا برنامه‌های جعلی می‌توانند همان عملکردهایی را که برنامه قانونی ارائه می‌دهد تقلید کنند. بیشتر برنامه‌های هکرها به‌راحتی از صفحات وب رسمی با استفاده‌از چارچوب مبتنی بر کرومیوم ساخته می‌شوند. همچنین به‌آن‌ها اجازه‌می‌دهد تا برنامه‌های کاربردی بارگذاری شده‌با بدافزار را بدون توسعه‌از ابتدا گسترش دهند.

تاکنون بیش از صد هزار نفر در آلمان، بریتانیا، امریکا، اسرائیل، سریلانکا، قبرس، استرالیا، یونان، ترکیه، مغولستان و لهستان همگی طعمه این بدافزار شده‌اند. برای جلوگیری از کلاهبرداری توسط این بدافزار و سایر بدافزارها، یک کارشناس امنیت سایبری می‌گوید چندین نکته امنیتی می‌تواند به کاهش خطر کمک کند. او ادامه می‌دهد: «مراقب دامنه‌های مشابه، اشتباهات املایی در وب سایت‌هاو فرستنده‌های ایمیل ناآشنا باشید. نرم افزار را فقط از ناشران یا فروشندگان مجاز / شناخته‌شده‌دانلود کنید و اطمینان حاصل کنید که‌ضد ویروس شما به‌روز است و محافظت جامع را ارائه‌می‌دهد.».