Krypto-Mining-Malware dringt seit 2019 heimlich in Hunderttausende von Computern auf der ganzen Welt ein und tarnt sich oft als legitime Programme wie Google Translate, wie neue Untersuchungen ergeben haben.
In einem Bericht vom 29. August von Check Point Research (CPR), einem Forschungsteam des amerikanisch-israelischen Cybersicherheitsanbieters Check Point Software Technologies, wurde die Malware fliegend seit Jahren unter dem Radar, teilweise dank seines heimtückischen Designs, das die Installation der Krypto-Mining-Malware um Wochen nach dem ersten Software-Download verzögert.
.@_CPResearch_ entdeckt a #Krypto Bergmann #Malware Kampagne, die potenziell Tausende von Computern weltweit infizierte. Der als „Nitrokod“ bezeichnete Angriff wurde ursprünglich von Check Point XDR entdeckt. Einzelheiten erfahren Sie hier: https://t.co/MeaLP3nh97 #Kryptowährung #Technische Neuigkeiten #CyberSec pic.twitter.com/ANoeI7FZ1O
– Check Point-Software (@CheckPointSW) 29. August 2022
Das Malware-Programm ist mit einem türkischsprachigen Softwareentwickler verbunden, der behauptet, „kostenlose und sichere Software“ anzubieten, und dringt über gefälschte Desktop-Versionen beliebter Apps wie YouTube Music, Google Translate und Microsoft Translate in PCs ein.
Sobald ein geplanter Task-Mechanismus den Malware-Installationsprozess auslöst, durchläuft er über mehrere Tage mehrere Schritte und endet mit der Einrichtung einer heimlichen Monero (XMR)-Krypto-Mining-Operation.
Die Cybersicherheitsfirma sagte, dass der in der Türkei ansässige Krypto-Miner namens „Nitrokod“ Maschinen in 11 Ländern infiziert hat.
Laut CPR hatten beliebte Software-Downloadseiten wie Softpedia und Uptodown Fälschungen unter dem Herausgebernamen „Nitrokod INC“ verfügbar.
Einige der Programme wurden Hunderttausende Male heruntergeladen, wie die gefälschte Desktop-Version von Google Translate auf Softpedia, die sogar fast tausend Bewertungen hatte und im Durchschnitt eine Sternebewertung von 9,3 von zehn hatte, obwohl Google keinen offiziellen Desktop hatte Version für dieses Programm.
Laut Check Point Software Technologies ist das Anbieten einer Desktop-Version von Apps ein wesentlicher Bestandteil des Betrugs.
Die meisten von Nitrokod angebotenen Programme haben keine Desktop-Version, was die gefälschte Software für Benutzer attraktiv macht, die glauben, ein Programm gefunden zu haben, das nirgendwo anders verfügbar ist.
Laut Maya Horowitz, Vizepräsidentin für Forschung bei Check Point Software, sind die mit Malware durchsetzten Fälschungen auch „durch eine einfache Websuche“ verfügbar.
„Was mich am meisten interessiert, ist die Tatsache, dass die Schadsoftware so beliebt ist, aber so lange unter dem Radar blieb.“
Zum jetzigen Zeitpunkt bleibt Nitrokods nachgeahmtes Google Translate Desktop-Programm eines der wichtigsten Suchergebnisse.
Design hilft, Erkennung zu vermeiden
Die Malware ist besonders schwierig zu erkennen, denn selbst wenn ein Benutzer die Scheinsoftware startet, bleibt er nicht klüger, da die gefälschten Apps auch dieselben Funktionen nachahmen können, die die legitime App bietet.
Die meisten Hacker-Programme lassen sich mithilfe eines Chromium-basierten Frameworks leicht von den offiziellen Webseiten erstellen, sodass sie mit Malware geladene Funktionsprogramme verbreiten können, ohne sie von Grund auf neu entwickeln zu müssen.
Verwandt: 8 hinterhältige Krypto-Betrügereien auf Twitter im Moment
Bisher sind über einhunderttausend Menschen in Israel, Deutschland, Großbritannien, Amerika, Sri Lanka, Zypern, Australien, Griechenland, der Türkei, der Mongolei und Polen der Malware zum Opfer gefallen.
Um zu vermeiden, von dieser und ähnlichen Malware betrogen zu werden, können laut Horowitz einige grundlegende Sicherheitstipps dazu beitragen, das Risiko zu verringern.
„Achten Sie auf Lookalike-Domains, Rechtschreibfehler auf Websites und unbekannte E-Mail-Absender. Laden Sie Software nur von autorisierten, bekannten Herausgebern oder Anbietern herunter und stellen Sie sicher, dass Ihre Endgerätesicherheit auf dem neuesten Stand ist und umfassenden Schutz bietet.“