Una nueva investigación de Check Point Research descubrió que, desde 2019, cierto malware de criptominería ha invadido sigilosamente cientos de miles de computadoras en todo el mundo, a menudo fingiendo ser programas legítimos como Google Translate.
Creado por una entidad turca, el malware invade las computadoras a través de versiones de escritorio falsificadas de aplicaciones populares como YouTube Music, Google Translate y Microsoft Translate. El software también se puede encontrar fácilmente a través de Google cuando los usuarios buscan «descarga de escritorio de Google Translate».
La empresa detrás del malware
Activo desde 2019, Nitrokod es un desarrollador de software que afirma ofrecer software gratuito y seguro.
La mayoría de los programas que ofrece Nitrokod son software populares que no tienen una versión de escritorio oficial. Por ejemplo, el programa más popular de Nitrokod es la aplicación de escritorio Google Translate. Google no ha lanzado una versión de escritorio oficial, lo que hace que la versión del atacante sea muy atractiva.
“La mayoría de sus programas desarrollados son fáciles de construir desde las páginas web oficiales utilizando un marco basado en Chromium. Por ejemplo, la aplicación de escritorio Google Translate se convierte desde la página web de Google Translate utilizando el proyecto CEF [Chromium Embedded Framework]. Esto brinda a los atacantes la capacidad de difundir programas de trabajo sin tener que desarrollarlos”, dijo Check Point Research.
Para evitar la detección, los autores de Nitrokod separan la actividad maliciosa del programa Nitrokod descargado originalmente:
- El malware se ejecuta por primera vez casi un mes después de instalar el programa Nitrokod.
- El malware se instala después de 6 etapas tempranas del programa infectado.
- La cadena atacada continúa usando el mecanismo de tareas programadas después de un largo retraso, lo que le da tiempo al atacante para limpiar la evidencia.
Una vez que el mecanismo de actividad programada activa el proceso de instalación de malware, realiza varios pasos de manera constante durante varios días, y finaliza con una operación de criptominería de Monero (XMR).
Nitrokod ha tenido éxito al usar sitios de descarga como Softpedia para propagar su malware.
Algunos de los programas se han descargado cientos de miles de veces, como la versión de escritorio falsa de Google Translate, que incluso tuvo casi mil reseñas, con un promedio de 9,3 sobre 10, a pesar de que Google no tiene una versión de escritorio oficial.
Hasta el momento, más de cien mil personas en Israel, Alemania, Reino Unido, Estados Unidos, Sri Lanka, Chipre, Australia, Grecia, Turquía, Mongolia y Polonia han sido víctimas del malware.
¿Cómo eliminar manualmente el malware?
Check Point Research identificó varios pasos para limpiar una máquina infectada:
1. Elimine los siguientes archivos de system32:
- Cualquier archivo que comience con chainlink
- nniawsoykfo.exe
- powermanager.exe
2. Eliminar el «actualizador»
- Quite la carpeta C:\ProgramData\Nitrokod
3. Elimina las tareas de programación maliciosa
- Servicio de instalación\1
- InstallService\2
- Servicio de instalación\3
- InstallService\4
