Una ricerca ha scoperto che, sin dal 2019, un particolare malware per il mining di criptovalute ha furtivamente invaso centinaia di migliaia di computer in tutto il mondo, spesso fingendo di essere programmi legittimi come Google Translate.
Un report di Check Point Research (CPR), team di ricerca della società di sicurezza informatica Check Point Software Technologies, sostiene che il malware in questione è sfuggito ai radar per anni, grazie in parte al suo design insidioso che ritarda l'installazione del miner per settimane dopo il download del software:
"CPR ha rivelato una campagna di crypto miner, che ha potenzialmente infettato migliaia di macchine in tutto il mondo. Denominato "Nitrokod," l'attacco è stato inizialmente individuato da Check Point XDR. Per maggiori dettagli: research.checkpoint.com."
.@_CPResearch_ detected a #crypto miner #malware campaign, which potentially infected thousands of machines worldwide. Dubbed ‘Nitrokod,” the attack was initially found by Check Point XDR. Get the details, here: https://t.co/MeaLP3nh97 #cryptocurrecy #TechnologyNews #CyberSec pic.twitter.com/ANoeI7FZ1O
— Check Point Software (@CheckPointSW) August 29, 2022
Collegato a uno sviluppatore turco che sostiene di offrire "software gratuito e sicuro," il malware viene inserito all'interno di versioni contraffatte di popolari applicazioni per PC, come YouTube Music, Google Translate e Microsoft Translate.
Dopo alcune settimane viene innescato il processo di installazione del malware, che avviene in diversi passaggi nel corso di svariati giorni. Al termine dell'operazione, la macchina viene infettata con un software per il mining di Monero (XMR)
Il virus Nitrokod, distribuito tramite siti web come Softpedia e Uptodown, ha infettato i PC di ben 11 nazioni. Alcuni dei programmi sono stati scaricati centinaia di migliaia di volte: la finta versione desktop di Google Translate su Softpedia vanta oltre mille recensioni e un voto medio di 9,3 su 10
È importante sottolineare che Google non offre una versione desktop ufficiale del suo servizio Translate. Questo è un elemento chiave della truffa, in quanto gli utenti sono indotti a scaricare un software impossibile da trovare altrove.
Secondo Maya Horowitz, Vice President of Research presso Check Point Software, gli utenti trovano questi software falsi tramite semplici ricerche su Google: "Trovo molto interessante il fatto che tali software non siano stati individuati per così tanto tempo, nonostante la loro incredibile popolarità."
Progettato per evitare il rilevamento
Questo malware risulta essere particolarmente difficile da rilevare. Da una parte il software offre un servizio reale, che imita in tutto e per tutto le funzioni dell'applicazione legittima; dall'altra l'utente non nota un rallentamento della propria macchina nel periodo immediatamente successivo all'installazione.
Correlato: Le 8 truffe cripto più pericolose attualmente attive su Twitter
Ad oggi, oltre 100.000 persone in Israele, Germania, Regno Unito, Stati Uniti, Sri Lanka, Cipro, Australia, Grecia, Turchia, Mongolia e Polonia sono tutte cadute preda del malware. Horowitz ha condiviso alcuni suggerimenti per evitare queste truffe:
"Fate attenzione ai domini simili – ma non identici – a quelli originali, agli errori di ortografia sui siti web, agli indirizzi di posta elettronica sconosciuti. Scaricate i vostri software solo da distributori noti e autorizzati, e assicuratevi che il vostro software di sicurezza sia adeguato e aggiornato."