Windows-malware vertraagt installatie van coinminer met een maand om detectie te omzeilen

countdown.jpg

Door Bill Toulas

Een nieuwe malwarecampagne, vermomd als Google Translate of MP3-downloaderprogramma's, bleek cryptocurrency mining-malware
te verspreiden over 11 landen.

De nepapplicaties worden verspreid via legitieme gratis softwaresites, waardoor de kwaadaardige applicaties op grote schaal worden
blootgesteld aan zowel regelmatige bezoekers van de sites als zoekmachines.

Volgens een rapport van Check Point is de malware gemaakt door een ontwikkelaar genaamd 'Nitrokod,' die op het eerste gezicht
schoon lijkt van malware en de geadverteerde functionaliteit biedt.

Check Point zegt echter dat de software met opzet de installatie van de kwaadaardige malwarecomponenten tot een maand uitstelt
om detectie te ontlopen.


free-software.png
The Nitrokod website homepage


Helaas staat het aanbod van Nitrokod hoog in de Google zoekresultaten, dus de website fungeert als een uitstekende valstrik
voor gebruikers die op zoek zijn naar een specifiek hulpprogramma.

BleepingComputer heeft contact opgenomen met de beheerder van Nitrokod op het vermelde contactadres, maar we hebben
nog geen reactie van hen ontvangen.

Bovendien, zoals Check Point ontdekte, werd Nitrokod's Google Translate applet ook geüpload op Softpedia, waar het meer
dan 112.000 downloads bereikte.


softpedia.png
The malware app on Softpedia (Check Point)



Infectie keten

Onafhankelijk van welk programma van de Nitrokod website wordt gedownload, ontvangt de gebruiker een met een wachtwoord
beveiligde RAR die AV-detectie omzeilt en een uitvoerbaar bestand bevat dat de naam van het geselecteerde programma draagt.

Na het uitvoeren van het bestand wordt de software op het systeem van de gebruiker geïnstalleerd, samen met twee registersleutels,
een

system-report.png

Profiling the host and sending details to C2 (Check Point)


Om geen argwaan te wekken en om sandbox-analyse te dwarsbomen, activeert de software een dropper van een ander versleuteld
RAR-bestand dat via Wget is opgehaald op de vijfde dag van de infectie.

Vervolgens wist de software alle systeemlogboeken met PowerShell-commando's en haalt na nog eens 15 dagen de volgende
versleutelde RAR op van "intelserviceupdate[.]com."


multiple-stages.png

Timeline of infection stages (Check Point)


De dropper in het volgende stadium controleert de aanwezigheid van antivirussoftware, zoekt naar processen die mogelijk toebehoren
aan virtuele machines, en voegt uiteindelijk een firewallregel en een uitsluiting toe aan Windows Defender.


firewall-rule.png

Firewall rule to exempt malware communications from scrutiny (Check Point)


Nu het apparaat is voorbereid voor de laatste payload, laadt het programma de laatste dropper, die een ander RAR-bestand ophaalt
dat de XMRig mining malware bevat, zijn controller en een ".sys"-bestand dat de instellingen bevat.

De malware bepaalt of hij op een desktop of laptop draait, maakt dan verbinding met zijn C2 ("nvidiacenter[.]com") en verstuurt een
volledig hostsysteemrapport via HTTP POST-verzoeken.

Ten slotte antwoordt de C2 met instructies zoals of hij moet activeren, hoeveel CPU-kracht hij moet gebruiken, wanneer hij de C2
opnieuw moet pingen, of naar welke programma's hij moet controleren en afsluiten indien gevonden.


attack-chain(3).png

The complete attack chain diagram (Check Point)



Hoe u veilig blijft

Crypto-mining malware kan een risico vormen omdat het hardware kan beschadigen door hardwarestress en oververhitting te
veroorzaken, en het kan de prestaties van uw computer beïnvloeden door extra CPU-bronnen te gebruiken.

Bovendien kunnen de door Check Point ontdekte malware-droppers de uiteindelijke payload op elk moment verwisselen met iets
veel gevaarlijkers.

Om uzelf te beschermen, vermijdt u het downloaden van apps die functionaliteit beloven die niet officieel is uitgebracht door de
oorspronkelijke ontwikkelaar, zoals een desktopversie van de Google vertaaltool.


 
Terug
Bovenaan Onderaan