Phần mềm độc hại giả mạo Google Dịch đã bí mật cài công cụ khai thác tiền điện tử trên 112.000 PC

Phần mềm độc hại, được gọi là “Nitokod,” được thiết kế như một ứng dụng máy tính cho Google Dịch và được xây dựng bởi một tổ chức ở Thổ Nhĩ Kỳ, theo Check Point Research (CPR) đưa tin vào ngày 29/8.

.@_CPResearch_ detected a #crypto miner #malware campaign, which potentially infected thousands of machines worldwide. Dubbed ‘Nitrokod,” the attack was initially found by Check Point XDR. Get the details, here: https://t.co/MeaLP3nh97 #cryptocurrecy #TechnologyNews #CyberSec pic.twitter.com/ANoeI7FZ1O

— Check Point Software (@CheckPointSW) August 29, 2022

Ứng dụng Google dịch giả mạo

Do thiếu ứng dụng chính thức cho Google dịch trên máy tính, một số lượng lớn người dùng Google đã tải xuống chương trình này. Khi chương trình được cài đặt, nó ngay lập tức bắt đầu thiết lập một hệ thống khai thác tiền điện tử phức tạp trên thiết bị đó. 

Sau khi cơ chế tác vụ được lên lịch kích hoạt quá trình cài đặt phần mềm, nó sẽ thực hiện một số bước liên tục trong vài ngày, kết thúc bằng hoạt động khai thác tiền điện tử Monero (XMR) ẩn được thiết lập.

 
Chuỗi lây nhiễm. Nguồn: Check Point

Cảnh báo phần mềm độc hại

Theo CPR, Nitrokod – một công ty khai thác tiền điện tử có trụ sở tại Thổ Nhĩ Kỳ, đã phát tán công cụ này trên 11 quốc gia, bao gồm: Israel, Đức, Anh, Hoa Kỳ, Sri Lanka, Úc, hy Lạp, Thổ Nhĩ Kỳ, Mông Cổ… Trên các trang web download phần mềm phổ biến như Softpedia hay Uptodown cũng có sẵn các ứng dụng giả mạo được phát hành dưới tên Nitrokod INC.

Thậm chí một số ứng dụng còn có hàng trăm nghìn lượt tải xuống, chẳng hạn như phiên bản Google Dịch dành cho PC trên Softpedia. Điểm số đánh giá dành cho ứng dụng này lên đến 9,3/10 bất chấp thực tế là Google không hề phát triển phiên bản đó.

Check Point Software Technologies cho biết, việc cung cấp ứng dụng dành cho PC là một phần quan trọng của trò lừa đảo này. Hầu hết những ứng dụng mà Nitrokod chọn để giả mạo đều không có bản PC, điều này dễ khiến người dùng lầm tưởng rằng mình đã tìm thấy một ứng dụng phiên bản giới hạn.

Để tránh khỏi những phần mềm độc hại này, Maya Horowitz – phó chủ tịch nghiên cứu của Check Point Software chia sẻ:

“Hãy cẩn thận với những tên miền trông có vẻ giống nhau, có lỗi chính tả trong trang web và những nguồn mail lạ. Chỉ tải xuống các phần mềm từ nhà phát hành hoặc nhà cung cấp được ủy quyền, được biết đến và đảm bảo bảo mật endpoint luôn được cập nhật và bảo vệ toàn diện.”