Ponad 111 tys. użytkowników z 11 krajów pobrało nieoficjalną, desktopową wersję Google Translate, która zainfekowana była złośliwym oprogramowaniem. Wśród ofiar są m.in. Polacy – ostrzega Check Point Research. Zaszyte szkodliwe oprogramowanie wykorzystywało moce obliczeniowe komputerów do wydobywania kryptowalut, jednak eksperci uważają, że w łatwy sposób może zostać podmienione na trojany bankowe lub ransomware.
Kampanię hakerską, która wykorzystywała moce obliczeniowe komputerów ofiar okryli analitycy bezpieczeństwa cybernetycznego z Check Point Research. Wykorzystywała ona nieoficjalną desktopową wersję Tłumacza Google oraz kilka innych darmowych programów komputerowych. Ich autorami jest turecka firma Nitrokod, która od 2019 roku zainfekowała 111 tys. komputerów w 11 krajach, w tym w Polsce.
Kampania instaluje malware z bezpłatnego oprogramowania dostępnego na popularnych stronach internetowych, takich jak Softpedia i uptodown. Złośliwe oprogramowanie można również łatwo znaleźć za pośrednictwem Google, gdy użytkownicy wpiszą frazę „Pobierz Tłumacz Google na komputer”. Po początkowej instalacji oprogramowania osoby atakujące opóźniają proces infekcji tygodniami, usuwając ślady pierwotnej instalacji.
Obraz 1. Wyniki wyszukiwania dla „Pobieranie Tłumacza Google Desktop”
Kampania od lat z powodzeniem działała unikając wykrycia. Autorzy w tym celu wdrożyli kilka kluczowych strategii:
• Złośliwe oprogramowanie jest uruchamiane po raz pierwszy prawie miesiąc po zainstalowaniu programu
Nitrokod.
• Złośliwe oprogramowanie jest dostarczane po przejściu 6 wcześniejszych etapów.
• Łańcuch infekcji jest kontynuowany z dużym opóźnieniem przy użyciu mechanizmu zaplanowanego zadania, dając atakującym czas na usunięcie wszystkich dowodów.
Rysunek 2. Mapa łańcucha infekcji
Wśród ofiar są m.in. użytkownicy z Wielkiej Brytanii, Grecji, Izraela, Niemiec, Australii i Polski. – Wykryliśmy popularną witrynę, która udostępnia złośliwe oprogramowania za pomocą imitacji aplikacji na komputery PC, w tym m.in. Google Translate Desktop. Programy można znaleźć za pomocą prostego wyszukiwania w Internecie czy udostępnionego linku. Wiemy też, że narzędzia są budowane przez tureckojęzycznych programistów – wyjaśnia Maya Horowitz, wiceprezes ds. badań w firmie Check Point Software.
