Това „чисто“ приложение, което наподобява Google Translate всъщност е
зловреден софтуер за копаене на крипто в средата на операционната система Windows
Атаката започва с класически троянски кон. Джеф Бърт, вторник, 30 август 2022 г. описва подробности за действието и разпространението на въпросното приложение.
Някой разпространява зловреден софтуер за копаене на криптовалута, маскиран като легитимно изглеждащи приложения
Изглежда, че приложенията са повече от едно, вероятно направо се обръщат към Google Translate, за да симулират дейност. Намират се в сайтове за безплатно изтегляне на софтуер и чрез търсения с Google.
Статията съдържа подробности за троянски кон за добиване на крипто. Не е задължително да е валута. В случая е. Известен е с името Nitrokod, обикновено е маскиран като чисто приложение за Windows и работи, както очаква потребителят, дни или седмици, преди неговият скрит код за създаване на Monero да бъде изпълнен.
Турскоезичната група зад Nitrokod е открита от ловците на заплахи от Check Point Research в края на юли 2022. Експертите от групата смятат, че
вече да са заразени хиляди системи в 11 държави.
Групата е активна от 2019 г. Интересното е, че приложенията предоставят десктоп версия на услуги, които обикновено се намират само онлайн.
Заедно с Google Translate, друг софтуер, използван от Nitrokod, включва други приложения за превод – включително Microsoft Translator Desktop – и програми за изтегляне на MP3. На някои сайтове злонамерените приложения са представени за „100% чисти“, въпреки че всъщност са заредени със зловреден софтуер за копаене.
Nitrokod се разпространява чрез сайтове за изтегляне, за да разпространи своя непослушен код. Според Softpedia приложението Nitrokod Google Translator е изтеглено повече от 112 000 пъти от декември 2019 г.
Според експертите от Check Point програмистите на Nitrokod са заложили множество стъпки, за да прикрият присъствието на зловредния софтуер в заразения компютър, преди да инсталират агресивен код за криптодобив.
Такива продължителни, многоетапни усилия за заразяване позволяват кампанията да продължи незабелязана от експертите по киберсигурност в продължение на години, преди най-накрая да бъде открита.
Това обяснение навява мисли за
употреба на Task Scheduler
Добре е от време на време да се правят проверки на списъка с отложени задачи. Елементарен начин за засичане на зловредно присъствие. Командата Get-ScheduledTask понякога показва такова. Стига изходът от нея да се разчете грамотно.
Подробности в MITRE ATT&CK® technique detection Scheduled Task (T1053). Вариации със скриптове по темата се откриват в [1] и [2], а [3] е платформа с отворен код, която разполага с функционалност за контрол на отложените изпълнения. Изпълнението на задачи по график е известно [4], [5] от преди 70-те години на миналия век… Днес го ползват лошите.
„Повечето от техните разработени програми се изграждат лесно от официалните уеб страници, използвайки базирана на Chromium рамка“, пише той. „Например, настолното приложение Google translate се преобразува от уеб страницата на Google Translate с помощта на проекта CEF [Chromium Embedded Framework]. Това дава възможност на атакуващите да разпространяват функционални програми, без да се налага да ги разработват.“
Клиничната пътечка
След като програмата за капан е изтеглена и потребителят стартира софтуера, действително приложение Google Translate, създадено, както е описано по-горе с помощта на Chromium, се инсталира и работи според очакванията. В същото време тихо във фонов режим софтуерът извлича и записва серия от изпълними файлове, които в крайна сметка планират един конкретен .exe да се изпълнява всеки ден, след като бъде разопакован. Това извлича друг изпълним файл, който се свързва с отдалечен командно-контролен сървър, извлича конфигурационни настройки за кода за копаене на Monero и стартира процеса на копаене, като генерираните монети се изпращат до портфейлите на престъпниците. Част от кода от ранните предварителни етапи се самоунищожава, за да прикрие следите си.
„В този момент всички свързани файлове и доказателства се изтриват и следващият етап от веригата на заразяване ще продължи след 15 дни от помощната програма на Windows schtasks.exe“, пише Marelus. „По този начин първите етапи на кампанията са отделени от следващите, което прави много трудно проследяването на източника на веригата на заразяване и блокиране на първоначалните заразени приложения.“[6]
Одит на обкръжението и анихилиране
Един от предварителните етапи се отличава с проверки за известни процеси на виртуална машина и продукти за сигурност. Ясно е, че софтуерът, които пази платформите от вируси се анализира от създателите на въпросния малуеър. Ако бъде намерен такъв, програмата спира. Ако програмата продължи, тя добавя правило за защитна стена, за да разреши входящи мрежови връзки.
Тук в коментарите откривам лек пропуск. За последното действие са необходими ескалирани права, нейсе…
По време на множеството етапи нападателите използват защитени с парола RAR криптирани файлове, за да доставят следващия етап, за да ги направят по-трудни за откриване [7].
Изследователите на Check Point успяват да проучат кампанията за криптодобив чрез платформата за разширено откриване и реагиране (XDR) на доставчика, твърди Marelus. ®
Както се вижда от [8] Monero е във фокуса на крипто разбойниците.
[1] Inc. Spiceworks. Get Scheduled Task Info – Script Center – Spiceworks. URL https://community.spiceworks.com/scripts/show/1586-get-scheduled-task-info. [Online; accessed 3. Sep. 2022].
[2] Netwrix. Using PowerShell to List Scheduled Tasks on Windows Machines. URL https://www.netwrix.com/how_to_get_list_of_scheduled_tasks.html. [Online; accessed 3. Sep. 2022].
[3] Wazuh. Monitoring Windows task scheduler to detect attack persistence · Wazuh · The Open Source Security Platform. URL https://wazuh.com/blog/monitoring-windows-task-scheduler-to-detect-attack-persistence.
[4] E. F. Codd. Multiprogram scheduling: Parts 1 and 2. introduction and theory. 3 (6): 347–350. ISSN 0001-0782. doi: 10.1145/367297.367317. URL https://doi.org/10.1145/367297.367317.
[5] C. L. Liu and James W. Layland. Scheduling algorithms for multiprogramming in a hard-real-time environment. 20 (1): 46–61. ISSN 0004-5411. doi: 10.1145/321738.321743. URL https://doi.org/10.1145/321738.321743.
[6] Check Point Research detects Crypto Miner malware disguised as Google translate desktop and other legitimate applications – Check Point Research. URL https://research.checkpoint.com/2022/check-point-research-detects-crypto-miner-malware-disguised-as-google-translate-desktop-and-other-legitimate-applications. [Online; accessed 3. Sep. 2022].
[7] Jeff Burt. That ’clean’ Google Translate app is actually Windows crypto-mining malware. URL https://www.theregister.com/2022/08/30/nitrokod_crypto_malware_google/?utm_source=daily&utm_medium=newsletter&utm_content=top-article.
[8] MALXMR Malware Information. URL https://success.trendmicro.com/dcx/s/solution/000261917?language=en_US&sfdcIFrameOrigin=null. [Online; accessed 3. Sep. 2022].