Una campagna di criptomining utilizza Google Translate Desktop

by Redazione TecnoGazzetta

Check Point Research (CPR)

, la divisione di Threat Intelligence di Check Point Software Technologies Ltd., il principale fornitore di soluzioni di cybersecurity a livello globale, ha scoperto una campagna attiva di criptomining che riproduce “Google Translate Desktop” e altri software gratuiti con lo scopo di infettare i PC.

Creata da Nitrokod, un’entità di lingua turca, la campagna conta 111.000 download in 11 Paesi, dal 2019. Gli aggressori ritardano il processo di infezione per settimane così dasfuggire alla detection. Possono facilmente scegliere di alterare il malware, trasformandolo da criptominera ransomware o banking trojan, ad esempio.  La campagna distribuisce il malware dal software gratuito disponibile su siti web come Softpedia e Uptodown. Inoltre, il software malevolo può essere facilmente trovato tramite Google quando gli utenti cercano “Google Translate Desktop download”.

Dopo l’installazione iniziale del software, gli aggressori ritardano il processo di infezione per settimane, eliminando le tracce dell’installazione originale.

Non rilevata per anni

Per anni la campagna ha operato con successo senza essere scoperta. Per evitare il rilevamento, gli autori di Nitrokod hanno implementato alcune strategie chiave:

  • Il malware viene eseguito per la prima volta quasi un mese dopo l’installazione del programma Nitrokod
  • Il malware viene consegnato dopo 6 fasi precedenti dei programmi infetti
  • La catena di infezione continua dopo un lungo ritardo utilizzando un meccanismo di attività pianificate, dando agli aggressori il tempo di cancellare tutte le prove

Catena dell’infezione

  • Tutto inizia con l’installazione di un programma infetto scaricato dal Web
  • Una volta che l’utente avvia il nuovo software, viene installata un’app che imita di Google Translate. Inoltre, viene scaricato su disco un file di aggiornamento che avvia una serie di quattro dropper fino alla caduta del malware vero e proprio
  • Dopo l’esecuzione, il malware si connette al server C&C (Command & Control) per ottenere una configurazione per il crypto miner XMRig e avvia l’attività di mining

Vuoi ricevere gli aggiornamenti delle news di TecnoGazzetta? Inserisci nome ed indirizzo E-Mail:


Acconsento al trattamento dei dati personali (Info Privacy)