Diversi tipi di malware sono sempre in agguato per entrare nei nostri computer e infettarli. Ad esempio, è stato recentemente scoperto un nuovo tipo di virus che si nascondeva in Google Translate o altri programmi per scaricare musica Mp3, che sostanzialmente si installava sui computer per minare criptovalute dai PC infetti.
Il mondo digitale ha sia cose buone che cattive. Uno di questi sono le varie app false che vengono distribuite attraverso vari negozi di freeware legittimi fino a quando non vengono scoperte che ospitano malware e vengono rimosse. Per questo motivo, dovremo sempre stare molto attenti a ciò che finalmente installiamo sui nostri computer.
Il programma che nasconde il malware
Questo particolare virus è stato recentemente scoperto da Check Point Research. Nella loro ricerca, hanno chiarito come funziona questo particolare malware. Fondamentalmente, secondo il loro rapporto, il virus è stato creato da uno sviluppatore chiamato ‘Nitrokod‘. All’inizio, il programma che installa sul computer sembra essere privo di malware e ci consente di usarlo con la funzione che ci ha promesso.
Tuttavia, il problema inizia a comparire un mese dopo l’installazione del programma nel computer. Più che altro, perché il software ha l’obiettivo di ritardare deliberatamente l’installazione dei diversi componenti del malware fino a un mese dopo per evitare di essere rilevato dai diversi antivirus che potrebbero avere gli utenti. A quel tempo, il virus è riuscito a minare criptovalute senza che la vittima se ne accorgesse.
In totale, dal 2019 ha ottenuto più di 111.000 vittime in un massimo di 11 paesi: Regno Unito, Stati Uniti, Sri Lanka, Grecia, Israele, Germania, Turchia, Cipro, Australia, Mongolia e Polonia. Inoltre, questo tipo di malware ha trovato la sua strada su siti popolari come Softpedia e Uptodown. I programmi utilizzati per ingannare gli utenti erano servizi che non dispongono di un’applicazione desktop per PC: Yandex Translate, Microsoft Translate, YouTube Music, MP3 Download Manager e Pc Auto Shutdown.
Come funziona questo virus?
Indipendentemente dal programma che era stato scaricato (con la firma di questo sviluppatore), l’utente che voleva installarlo, ha ricevuto un file .rar protetto da password in cui ha trovato un eseguibile con il nome dell’applicazione. Una volta eseguito sul computer, è stato avviato un conto alla rovescia in 4 fasi in cui sono stati installati i componenti necessari per l’installazione completa del malware.
Ciò è stato ottenuto dal fatto che, dopo l’esecuzione, il software ha attivato un contagocce di un altro file .rar crittografato ottenuto tramite Wget il quinto giorno di infezione. Infine, una volta che il virus è stato completato, è stata stabilita una connessione a un server di comando e controllo (C2) remoto in cui è stato recuperato un file di configurazione per avviare l’estrazione di criptovalute sul PC infetto.
Pertanto, l’unico modo per proteggerci da questo tipo di malware è evitare di scaricare software diversi che lo sviluppatore originale non ha rilasciato ufficialmente, come è avvenuto con Google Translate. In questo modo possiamo evitare di cadere nella trappola di questo tipo di sviluppatore.