Detectada una campaña de criptominería que imita a Google Translate

Check Point Research (CPR) ha descubierto una campaña activa de minería de criptomonedas que imita a Google Translate y otros softwares gratuitos para infectar los PCs. Creada por una entidad de habla turca llamada Nitrokod, la campaña se ha cobrado unas 111.000 víctimas en 11 países desde 2019.

La campaña lanza el malware desde software gratuito disponible en sitios web populares como Softpedia y uptodown. Además, el software malicioso también puede encontrarse fácilmente a través de Google cuando los usuarios buscan "Google Translate Desktop download". Tras la instalación inicial del software, los atacantes retrasan el proceso de infección durante semanas, eliminando los rastros de la instalación original.

Una vez que el usuario lanza el nuevo software, se instala una aplicación real de imitación de Google Translate. Además, se suelta un archivo de actualización en el disco que inicia una serie de cuatro droppers hasta que se suelta el malware real. Una vez ejecutado el malware, éste se conecta a su servidor de C&C para obtener una configuración para el programa de minado de criptomonedas XMRig e inicia la actividad.

“Hemos descubierto un sitio web que ofrece versiones maliciosas a través de imitaciones de aplicaciones para PC, incluyendo Google Desktop y otras, que incluyen un programa de minería de criptomonedas. Las herramientas maliciosas pueden ser utilizadas por cualquiera. Se pueden encontrar mediante una simple búsqueda en la web, se descargan desde un enlace y su instalación es un simple doble clic. Sabemos que las herramientas han sido creadas por un desarrollador de habla turca”, destaca Maya Horowitz, vicepresidenta de Investigación en Check Point Software. “Lo más interesante para mí es el hecho de que el software malicioso es muy popular, y sin embargo pasó desapercibido durante mucho tiempo”.