Alertan por un virus disfrazado de conocidos softwares gratuitos

Una división de la empresa Check Point descubrió una campaña activa de minería de criptomonedas que imita a Google Desktop Translate y otros softwares gratuitos para infectar computadoras.

Creada por una entidad turca llamada Nitrokod, la campaña ya tiene unas 111.000 víctimas en 11 países desde 2019. La campaña lanza el malware desde software gratuito disponible en sitios web populares como Softpedia y uptodown. Además, el software malicioso también puede encontrarse fácilmente a través de Google cuando los usuarios buscan Google Translate Desktop download. Tras la instalación inicial del software, los atacantes retrasan el proceso de infección durante semanas, eliminando los rastros de la instalación original.

Sin ser detectado durante años

La campaña operó con éxito durante años. Para evitar su detección, los autores de Nitrokod implementaron algunas estrategias clave: 

• El malware se ejecuta por primera vez casi un mes después de la instalación del programa Nitrokod
• El malware se entrega después de 6 etapas anteriores de programas infectados
• La cadena de infección continúa tras un largo retraso utilizando un mecanismo de tareas programadas, lo que da tiempo a los atacantes a eliminar todas sus pruebas

Cadena de infección

• La infección comienza con la instalación de un programa infectado descargado de la web.
• Una vez que el usuario lanza el nuevo software, se instala una aplicación real de imitación de Google Translate. Además, se suelta un archivo de actualización en el disco que inicia una serie de cuatro droppers hasta que se suelta el malware real.
• Una vez ejecutado el malware, éste se conecta a su servidor de C&C (Comando y Control) para obtener una configuración para el programa de minado de criptomonedas XMRig e inicia la actividad.

Consejos de ciberseguridad

• Tener cuidado con los dominios parecidos, los errores ortográficos en los sitios web y los remitentes de correo electrónico desconocidos.
• Descargar software sólo de editores y proveedores autorizados y conocidos.
• Prevenir los ataques de día cero con una arquitectura cibernética integral, de principio a fin.
• Asegúrate de que la seguridad del endpoint está actualizada y proporciona una protección completa.