به گزارش مرکز مدیریت راهبردی افتا، مهاجمان بدافزارهای استخراجکننده ارز دیجیتال را از طریق سایتهایی همچون Nitrokod، Softpedia و Uptodown منتشر میکنند که مدعی ارائه نرمافزارهای رایگان و ایمن هستند و در نگاه اول به نظر میرسد که این برنامهها فاقد هرگونه کد بدافزاری هستند و عملکرد تبلیغ شده را ارائه میکنند.
اکثر برنامههای آلوده به این بدافزار، در ظاهر نرمافزارهای محبوبی هستند که نسخه رسمی دسکتاپ ندارند. بهعنوانمثال، محبوبترین برنامه Nitrokod نسخه دسکتاپ Google Translate است که علاوه بر سایت Nitrokod در Softpedia نیز بارگذاری شده و این در حالی است که گوگل، نسخه رسمی دسکتاپ Translate را منتشر نکرده است.
این برنامههای آلوده علاوه بر بازدیدکنندگان معمولی سایتها، در معرض نمایش موتورهای جستجو نیز قرار میگیرند. متأسفانه، پیشنهادها و تبلیغ Nitrokod برای این نرمافزارها در نتایج جستجوی Google رتبه بالایی دارد و این سایت طعمهای عالی برای کاربرانی است که به دنبال ابزاری خاص هستند. هنگامی که کاربران نسخه دسکتاپ Google Translate را جستجو میکنند، بهسرعت به سایتهای مذکور هدایت میشوند.
محققان در گزارشی اعلام کردهاند که این بدافزار پس از نصب، اجرای کد مخرب را تا یک ماه به تأخیر میاندازد تا راهکارهای امنیتی نتوانند آن را شناسایی کنند.
بدافزار، وجود نرمافزار ضدویروس را بررسی کرده، ضمن جستجوی پروسههای متعلق به ماشینهای مجازی، از یک سری روالهای ضد شناسایی و ضد تحلیل برای دورزدن محصولات امنیتی استفاده میکند و در نهایت یک قاعده به مجموعه قواعد فایروال و یک استثنا به Windows Defender اضافه میکند.
