iProfesional
jue, 1 de septiembre de 2022, 7:57 a. m.·3 min de lectura
Una empresa de ciberseguridad alertó por un código malicioso que ya se cobró 111.000 víctimas. El "malware" está disfrazado de conocidos softwares gratuitos como Google Translate.
El código malicioso cuenta con imitaciones de aplicaciones populares, pero que no tienen versiones reales de escritorio, como el servicio de traducción de Google.
Las víctimas son del Reino Unido, los Estados Unidos, Sri Lanka, Grecia, Israel, Alemania, Turquía, Chipre, Australia, Mongolia y Polonia.
La compañía Check Point Research descubrió esta campaña activa de minería de criptomonedas que imita a Google Desktop Translate y otros softwares gratuitos para infectar computadoras.
Creada por una entidad de habla turca llamada Nitrokod, la campaña ya tiene unas 111.000 víctimas en 11 países desde 2019, informó la empresa, en un comunicado enviado a iProfesional.
La campaña lanza el malware desde software gratuito disponible en sitios web populares como Softpedia y uptodown.
Los delincuentes informáticos apelan a la confusión de los usuarios para cometer fechorías de este tipo.
Cómo actúa el virus
El software malicioso también puede encontrarse a través de Google cuando los usuarios buscan "Google Translate Desktop download".
Tras la instalación inicial del software, los atacantes retrasan el proceso de infección durante semanas, mientras eliminan los rastros de la instalación original.
La campaña operó con éxito durante años. Para evitar su detección, los autores de Nitrokod implementaron las siguientes tácticas:
-El malware se ejecuta por primera vez casi un mes después de la instalación del programa Nitrokod.
-El malware se entrega después de seis etapas anteriores de programas infectados.
-La cadena de infección continúa tras un retraso largo utilizando un mecanismo de tareas programadas, lo que da tiempo a los atacantes a eliminar todas sus pruebas
-La infección comienza con la instalación de un programa infectado descargado de la web.
-Una vez que el usuario lanza el nuevo software, se instala una aplicación real de imitación de Google Translate.
-Además, se suelta un archivo de actualización en el disco que inicia una serie de cuatro "droppers" hasta que se suelta el malware real,
-Una vez ejecutado el malware, éste se conecta a su servidor de comando y control para obtener una configuración para el programa de minado de criptomonedas XMRig e inicia la actividad
Consejos de ciberseguridad
Para estar protegidos y ser precavidos ante cualquier forma de ataque, desde Check Point dan estos consejos:
-Tener cuidado con los dominios parecidos, los errores ortográficos en los sitios web y los remitentes de correo electrónico desconocidos.
-Descargar software sólo de editores y proveedores autorizados y conocidos.
-Prevenir los ataques de día cero con una arquitectura cibernética integral, de principio a fin.
-Asegúrate de que la seguridad del endpoint está actualizada y proporciona una protección completa.
Para no sufrir inconvenientes, conviene prestar atención cuando se descargan archivos a la PC.
Las herramientas maliciosas pueden ser utilizadas por cualquiera. Se pueden encontrar mediante una simple búsqueda en la web, se descargan desde un enlace y su instalación es un simple doble clic. Sabemos que las herramientas han sido creadas por un desarrollador de habla turca", destacó Maya Horowitz, vicepresidenta de Investigación en Check Point Software.
"Lo más interesante para mí es el hecho de que el software malicioso es muy popular, y sin embargo pasó desapercibido durante mucho tiempo. Hemos bloqueado la amenaza para los clientes de Check Point, y publicamos este informe para que otros puedan estar protegidos también", afirmó.