Un nuevo malware ha sido descubierto, se trata de una entidad turca llamada Nitrokod la cual se atribuye a una campaña activa de minería de criptomonedas que consiste en hacerse pasar por una aplicación de escritorio del Traductor de Google para infectar a sus víctimas. Han sido 11 países los afectados por este malware desde 2019, entre ellos: Reino Unido, Estados Unidos, Sri Lanka, Grecia, Israel, Alemania, Turquía, Chipre, Australia, Mongolia y Polonia. "Las herramientas maliciosas pueden ser utilizadas por cualquier persona", dijo Maya Horowitz, vicepresidente de investigación de Check Point, en un comunicado. "Se pueden encontrar con una simple búsqueda en la web, se descargan desde un enlace y su instalación es un simple doble clic". La campaña consiste en servir el malware a través de software gratuito alojado en sitios populares como Softpedia y Uptodown. Pero en una táctica interesante, el malware pospone su ejecución durante semanas y separa su actividad maliciosa del software falso descargado para evitar su detección. A la instalación del programa infectado le sigue el despliegue de un ejecutable de actualización en el disco que, a su vez, pone en marcha una secuencia de ataque de cuatro etapas, en la que cada gotero prepara la siguiente, hasta que el malware real se lanza en la séptima etapa. Una vez ejecutado el malware, se establece una conexión con un servidor remoto de mando y control (C2) para recuperar un archivo de configuración que inicie la actividad de minería de monedas. Un aspecto notable de la campaña de Nitrokod es que el software falso que se ofrece gratuitamente es para servicios que no tienen una versión oficial de escritorio, como Yandex Traductor, Microsoft Traductor, YouTube Music, MP3 Download Manager y Pc Auto Shutdown. Además, el malware se abandona casi un mes después de la infección inicial, momento en el que se borra el rastro forense, lo que dificulta el desglose del ataque y su rastreo hasta el instalador. "Lo más interesante para mí es el hecho de que el software malicioso es tan popular y sin embargo pasó por debajo del radar durante tanto tiempo", indicó Horowitz. "El atacante puede elegir fácilmente alterar la carga útil final del ataque, cambiándola de minero de criptomonedas a, por ejemplo, ransomware o troyano bancario".