Une nouvelle attaque de malware de cryptominage se faisant passer pour un téléchargement de Google Translate a été découverte fin juillet par Check Point Research Study (CPR).
Le malware, appelé Nitrokod , aurait potentiellement contaminé des milliers de créateurs dans le monde entier et s’est assis sur de nombreux sites populaires, dont Softopedia et uptodown, à l’insu des propriétaires de sites eux-mêmes. Il a également été proposé directement via une recherche Google pour « Télécharger Google Translate Desktop ».
Cliquer sur le téléchargement de l’application logicielle configurer le cryptomineur sur les appareils des utilisateurs sans méfiance. Mais l’action de ce malware spécifique n’a jamais été pressée – il s’agissait d’une infection en plusieurs étapes qui venait de commencer à crypter des semaines après son téléchargement. Ces premières semaines comprenaient la suppression de toute trace d’infection révélatrice de l’incursion préliminaire, afin que le cryptomineur puisse s’asseoir sous la surface de l’appareil, peut-être inaperçu pendant des années.
Appâter l’hameçon
Il est essentiel de comprendre comment Nitrokod a attiré ses victimes. Il n’y a pas, par exemple, et il n’y a jamais eu d’application de bureau Google Translate officielle. Nitrokod– un développeur de logiciels parlant turc, utilise des téléchargements de logiciels totalement gratuits et sûrs, en grande partie des applications qui n’ont pas de versions téléchargeables officielles, consistant en le téléchargement de Google Translate.
Cela peut être un appât extrêmement attrayant pour les personnes et les entreprises qui ont régulièrement besoin de l’application. Il n’y a soit aucune raison de ne pas s’attendre à ce que Google n’ait pas officiellement lancé une version de bureau, soit aucun facteur de ne pas supposer qu’un concepteur de logiciel n’a peut-être pas réellement développé son propre frontal pouvant servir d’hôte de bureau au service en ligne, et avec de nombreuses bannières déclarant le statut propre du téléchargement, les gens cliquent pour télécharger l’application bénéfique sans aucun doute.
Et depuis 2019, les gens ont fait exactement cela, téléchargeant par erreur un le malware de cryptomining sur leurs créateurs.
La simplicité d’abord
Le style de la majorité des programmes Nitrokod est en fait relativement simple – ils utilisent les principaux sites Web pour les applications qu’ils fournissent ‘ versions téléchargeables de, grâce à une structure à base de chrome. Ainsi, le programme téléchargé est un effort minimum, et au moins dans ses fondamentaux, fournit les performances qu’il garantit.
Et le retard, généralement d’au moins un mois, entre le téléchargement du programme et le démarrage de toute activité destructrice, aide à séparer les problèmes observés du point d’entrée. En fait, il y a généralement 6 étapes préalables à l’infection avant que le logiciel malveillant de cryptominage ne se mette au travail, et parmi ces phases, il y a l’élimination des preuves de l’infection initiale.
La chaîne des infections
Cette infection à action différée est une signature de nombreuses infections de logiciels malveillants contemporains et une spécialité des campagnes Nitrokod. Elle est effectuée par ce qu’on appelle une chaîne d’infection, quelque chose en provoquant une autre, chaque action éloignant le danger du point d’infection initial.
Lorsque vous téléchargez l’application de bureau Google Traduction, vous obtenez un véritable application de bureau Google Traduction. Cela dissipe tout soupçon : aucune alarme ne se déclenche, et très souvent, aucun des programmes que vous avez réellement installés, en particulier pour détecter et éliminer les infections, ne remarque que quelque chose ne va pas.
Ce qui inclut l’application Google Traduction est un compte-gouttes secondaire. Dès que l’utilisateur introduit la nouvelle application logicielle, une véritable application Google Translate est mise en place. Cela commence une série de quatre droppers avant le vrai malware.
Le téléchargement initial
GoogleTranslateDesktop.exe est un programme d’installation Windows développé avec la configuration Inno, un outil totalement gratuit pour empaqueter et structurer les fichiers de configuration. Le programme d’installation commence par télécharger un fichier RAR crypté. Spécifiquement pour le protéger contre les analyses et les téléchargements aléatoires, le fichier est simplement téléchargé à partir du serveur de l’adversaire si l’agent utilisateur est défini sur « InnoDownloadPlugin/1.5 » (Inno setup deflate user represent).
Puis GoogleTranslateDesktop2. 50.exe est extrait du fichier RAR en utilisant « asx » comme mot de passe.
Le programme d’installation de GoogleTranslateDesktop2.50.exe commence par installer l’application Google Traduction dans le cours suivant : « C : Program Files ( x86)NitrokodGoogle Translate DesktopGoogleTranslateDesktop.exe »
Après l’installation, le programme d’installation vérifie si un fichier update.exe existe sur le chemin suivant « C : ProgramDataNitrokod ». Si le fichier n’existe pas ou si la version du fichier n’est pas 1.0.7.0, le dropper update.exe de la 3ème phase est supprimé. Une tâche planifiée est définie pour commencer la mise à niveau à chaque démarrage du système.
Le programme d’installation envoie un message de post-installation au domaine Nitrokod avec quelques détails sur la machine contaminée. Tous les détails sont envoyés en tant qu’arguments sur une demande HTTP GET
La suppression retardée
Le compte-gouttes de l’étape 3 (update.exe) est programmé pour s’exécuter au moins cinq jours après l’installation temps. Il le fait en conservant 2 secrets de registre Windows.
- « HKLUSoftwareUpdateD »– stocke la date de la dernière exécution.
- « HKLUSoftwareUpdateS »– sert de compteur.
Chaque fois que le programme de mise à jour est exécuté (à chaque démarrage du système), il vérifie si la dernière information d’exécution est égale à la date existante. Sinon, le compteur est incrémenté de un. Une fois que le compteur atteint la valeur 4, le compte-gouttes de la 4ème phase (chainlink1.07. exe) est extrait d’un autre fichier RAR crypté. En fait, cette opération nécessite au moins quatre redémarrages sur quatre jours différents, ce qui équivaut généralement à un minimum de plusieurs semaines d’utilisation normale par l’utilisateur. Ce système est également une excellente méthode pour éviter la détection de Sandbox, qui ne s’exécute pas sur plusieurs jours et plusieurs redémarrages.
Les tâches d’organisation
Le dropper de la quatrième phase supervise la production de 4 programmes différents travaux. Après avoir créé ces tâches de planification, il efface tous les journaux système à l’aide de la commande PowerShell Clear-EventLog. Les étapes 3 et 4 de la procédure de configuration sont auto-supprimées.
Tous les fichiers et preuves connexes suivent rapidement, étant supprimés dans l’air du temps numérique. Ensuite, l’infection attend 15 jours avant de se réactiver en exécutant l’utilitaire windows « schtasks.exe ». Il s’agit d’une distance substantielle entre le point d’incursion initiale et le début de toute activité malveillante majeure, ce qui la rend particulièrement difficile à retracer.
Après 15 jours, un fichier RAR chiffré est téléchargé depuis intelserviceupdate [] com par au moyen de la première tâche planifiée. Le lendemain, le fichier est décompressé via la deuxième tâche de planification et le fichier de l’étape 5 est extrait. Un jour plus tard, le fichier de l’étape 5 est exécuté par la troisième tâche.
Vérification du terrain
Le fichier de la phase 5 vérifie si des programmes spécifiques sont installés sur le fabricant infecté. Il vérifie par rapport à une liste de processus de périphériques virtuels connus, puis à une liste de produits principalement de sécurité. Si l’un des programmes est trouvé, le programme se ferme.
Ensuite, une directive de programme de pare-feu est ajoutée pour permettre les connexions réseau entrantes pour un programme qui sera supprimé dans la liste ci-dessous, appelé « nniawsoykfo.exe. «
Une fois cela accompli, l’activité de Windows Defender est laissée de côté pour le fichier « nniawsoykfo.exe », et pour un fichier « powermanager.exe » – qui est abandonné rapidement par la suite, son chemin est lissé pour une facilité parfaite.
Ensuite, le programme supprime le dernier compte-gouttes, « nniawsoykfo1.8. exe » d’un RAR crypté fichier et l’exécute.
Le Malware Drop
Ce dernier compte-gouttes fournit 3 fichiers, le malware, le mineur et une soumission système qui les aide à fonctionner.
Le lendemain, le logiciel malveillant est exécuté par une tâche planifiée et le minage de cryptomonnaies à long terme peut commencer.
Le but de toute cette chute retardée et de cette légère augmentation de l’infection est d’agir moins comme un b un voleur d’ank et plus comme un espion – pour s’asseoir silencieusement en extrayant des ressources pendant une période indéfinie, plutôt que d’obtenir beaucoup d’informations, par exemple, en une seule fois, et de déclencher toutes les alarmes de l’endroit. Il vient d’être repéré par Inspect Point à l’aide de la plate-forme Infinity XDR (Prolonged Detection and Response). Cette plate-forme dispose de méthodes pour contrer les méthodes d’évasion d’une attaque et permet d’observer et de contrer ses activités.
XDR et les plates-formes de détection similaires ont de nombreux éléments de détection comportementaux intégrés, exactement pour pouvoir combattre le tout nouveau génération de menaces furtives qui ne seront pas utilisées pour des logiciels de rançon, mais qui peuvent collecter des informations ou être utilisées comme cryptomineurs secrets, pendant une durée indéterminée.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
