-
El sitio desde donde se propaga el ataque ofrece apps de Google Translate y YouTube Music.
-
El ataque, que ha afectado a cientos de miles de personas, comenzรณ en 2019.
Un malware ha instalado sigilosamente, durante aรฑos, un programa que permite minar Monero a travรฉs de apps de Google falsas que se hacen pasar por Google Translate y YouTube Music. Su objetivo es obtener criptomonedas utilizando los recursos computacionales de sus vรญctimas, sin que estas se den cuenta.ย ย
El ataque ha sido atribuido a una entidad denominada Nitrokod, que se ha extendido por 11 paรญses, infectando potencialmente a cientos de miles de computadoras desde 2019.
De acuerdo con una investigaciรณn del proveedor de ciberseguridad estadounidense-israelรญ Check Point Research el malware ยซha operado con รฉxito bajo el radar durante aรฑosยป. Los investigadores seรฑalan que el virus puede tener procedencia turca, debido a las fuentes de su propagaciรณn.ย
Su รฉxito se debe a que los atacantes lograron posicionar las apps de Google infectadas en sitios populares como Softpedia y Uptodown. Ademรกs, estas aplicaciones ยซtroyanizadasยป utilizan un mecanismo que retrasa la activaciรณn del malware.ย
De hecho, una vez que la vรญctima instala el software, pueden pasar semanas hasta que el malware comienza a actuar, minando criptomonedas de manera silenciosa. El proceso de infecciรณn de la computadora incluye otro mecanismo para eliminar los rastros de instalaciรณn del programa, que dificulta aรบn mรกs su detecciรณn.ย
Nitrokod se hace pasar por apps de Google Translate y YouTube Musicย
Como indica la investigaciรณn de Check Point Research, los atacantes podrรญan estar detrรกs de una pรกgina turca que ofrece descarga de aplicaciones de Google ยซseguras y gratuitasยป. Sin embargo, aplicaciones como Google Translate no poseen una versiรณn tipo app para escritorios.
Los investigadores seรฑalan que parte del atractivo de esta pรกgina estรก en ofrecer, de manera gratuita, aplicaciones que no estรกn disponibles de manera oficial (aunque esto precisamente sea una advertencia de fraude).
Agregan que en ocasiones resulta muy fรกcil para estos atacantes utilizar el marco de Chromium de estas apps de Google para instalar el cรณdigo infectado, sin tener que desarrollar una aplicaciรณn desde cero. Solo la aplicaciรณn de Google Translate infectada (y falsa) ha sido descargada 111.000 veces si se mira en Uptodown o 112.000 veces segรบn Softpedia.
Estas cifras pudieran ser mucho mรกs elevadas si se considera que esa misma aplicaciรณn pudo haber sido descargada muchas veces desde el sitio nitrokod.com. Ademรกs, los otros programas infectados tambiรฉn pueden haber sido descargados muchas veces desde estos sitios web.
El programa Nitrokod instala un malware lentamente
El principal objetivo de los atacantes parece ser la minerรญa de monero de manera remota o cryptojacking, utilizando recursos computacionales de otros como marionetas. Sin embargo, cabe aclarar que Monero (XMR) no es una criptomoneda creada deliberadamente con este propรณsito. Tampoco los programas que se usan para ejecutar minerรญa remota.
Al respecto, la investigaciรณn seรฑala que el procedimiento que lleva a cabo el programa malicioso de Nitrokod incluye la instalaciรณn sucesiva de distintos archivos, a partir del dรญa 15 de la instalaciรณn de la app.
Durante el sexto y sรฉptimo paso, el programa malicioso ejecuta 3 archivos que inician tres procedimientos distintos, vinculados con el uso de los recursos de la computadora infectada, como memoria RAM y baterรญa.
El archivo que controla al minero de Monero se identifica como ยซPowermanager.exeยป. Los archivos del minero de monero se identifican como ยซnniawsoykfo.exeยป (minero XMRig) y ยซWinRing0.sysยป.
Estos archivos son los que permiten que los atacantes minen monero de manera remota, sin que la vรญctima lo perciba en muchos casos.
Prevenir los ataques de malware
Segรบn Maya Horowitz, vicepresidenta de investigaciรณn de Check Point Research, llama la atenciรณn que la aplicaciรณn Google Translate para escritorio (que no existe como recurso oficial) estรก entre los primeros resultados de bรบsqueda.
Muchas personas han sido infectadas en paรญses como Israel, Alemania, Reino Unido y Australia. La advertencia de investigadores y medios como CriptoNoticias se enfoca en prevenir estos actos con prรกcticas de seguridad bรกsicas.
Por ejemplo, tener cuidado con dominios parecidos. Una simple falta ortogrรกfica o alguna letra sobrante o faltante en la URL puede delatar un sitio falso. Es preferible descargar cualquier programa o documento desde proveedores oficiales o autorizados. Ademรกs, muchas veces la promesa de que algo es muy genial encubre un potencial ataque.