Les utilisateurs de 112 000 d’ordinateurs minaient, sans le savoir, de la crypto-monnaie depuis longtemps. Un logiciel malveillant qui se faisait passer pour Google Translate, signé par Nitrokod, est à l’origine du hack. Heureusement, Check Point Software a découvert le logiciel malveillant et l’a exposé.
Plus de 100 000 utilisateurs dupés
Pendant longtemps, Check Point Software Technologies n’a pas remarqué le malware présenté comme Google Translate créé par l’entité appelée Nitrokod. Ce logiciel malveillant n’a été découvert que lorsqu’il a été annoncé publiquement par la société de cybersécurité lundi dernier.
« @_CPResearch_ a détecté une campagne de #crypto miner #malware, qui a potentiellement infecté des milliers de machines dans le monde. Baptisée “Nitrokod”, l’attaque a été initialement découverte par Check Point XDR. »
Le logiciel développé par Nitrokod INC a infecté plus de 112 000 ordinateurs jusqu’à présent. En plus d’infecter les ordinateurs, le logiciel permettait de miner de la crypto-monnaie Monero.
Les gens ne se doutent de rien lorsqu’ils téléchargent des logiciels soi-disant sûrs et gratuits à partir de sites comme Uptodown et Softpedia. Beaucoup de gens ont été dupés par cette fausse version de Google Translate que l’on peut trouver sur Softpedia. Cette version de Google Translate a une note moyenne de 9,3 sur 10 sur Softpedia.
En publiant des versions de bureau d’applications populaires telles que Google Translate et Youtube Music Desktop, l’équipe Nitrokod démontre son incroyable habileté à manipuler les personnes.
L’agence de renseignement CPR affirme que Nitrokod a écrit le code de cette campagne de crypto-minage. Cette campagne qui a infecté des milliers d’ordinateurs dans 11 pays dont le Royaume-Uni, l’Allemagne, les Etats-Unis, Israël, la Pologne, l’Australie, a commencé en 2019. En tant que développeur de logiciels, Nitrokod agit de la sorte :
- Modifiez la version de bureau officielle gratuite d’un logiciel populaire ;
- Programmes faciles à développer basés sur la page Web officielle de Chromium ;
- Séparer les activités malveillantes des programmes Nitrokod pour supprimer toute méfiance ;
- Veiller à ce que les utilisateurs puissent installer l’application Google Traduction sans poser de questions ;
- Il est recommandé d’installer des fichiers de mise à jour pour intégrer en douceur de vrais logiciels malveillants ;
- Connectez le malware au serveur C&C pour obtenir la configuration du cryptomineur XMRig ;
- Ensuite, l’extraction de crypto se lance elle-même.
Difficile de détecter ces logiciels malveillant
Maya Horowitz, responsable du département de recherche de Check Point Software Technologies, a déclaré que la détection du logiciel malveillant était très difficile.
« Méfiez-vous des domaines similaires, des fautes d’orthographe dans les sites Web et des expéditeurs de courriels inconnus. Ne téléchargez des logiciels qu’auprès d’éditeurs ou de vendeurs autorisés et connus, et assurez-vous d’avoir un niveau de sécurité élevé en vue d’une protection complète. »
En dépit d’être incroyablement populaire, ce malware est resté largement inaperçu pendant longtemps. Le faux logiciel a trompé de nombreux utilisateurs qui pensaient utiliser la version officielle.
Les crypto-monnaies ont conduit à l’apparition de nombreuses formes de cybercriminalité des deux côtés du monde. Un exemple est cette application Google Translate pour Google Play qui se fait passer pour une fausse application. Lorsqu’elle est installée dans un ordinateur, elle utilise les ressources du système et l’électricité pour miner des cryptos. Par conséquent, cela augmente les factures d’électricité des utilisateurs.
Cette fraude est classée par AVG comme une forme de crypto jacking. Étant donné que le crypto jacking ne mine que les crypto-monnaies qui rapportent de l’argent, ce logiciel n’affecte pas les données personnelles. Cependant, les pirates pourraient modifier leurs méthodes pour affecter les données à l’avenir.
