Malware Windows si attiva dopo un mese e sfugge al rilevamento

Un malware molto subdolo attende fino a un mese prima di attivarsi per evitare i rilevamenti di sicurezza e avviare criptomining.

Avatar di Marco Doria

a cura di Marco Doria

Check Point ha segnalato un malware che si spaccia per tool di Google Translate o per il download di MP3 ma che in realtà sfrutta le macchine bersaglio per il mining di criptovalute.

Sviluppato da un operatore noto come Nitrokod, questo malware ha una particolarità: installa i componenti malevoli dopo circa un mese, al fine di aggirare i sistemi di sicurezza installati sui computer infettati. Gli utenti vengono tratti in inganno dal fatto che i tool proposti da Nitrokod sono classificati molto in alto sulle ricerche Google, di conseguenza, vengono scaricati abbastanza di frequente dagli ignari utenti in cerca di specifiche utility.

L'applet di Google Translate, poi, è presente anche su Softpedia, di conseguenza è stata scaricata oltre 100 mila volte. Tutti i tool distribuiti da Nitrokod arrivano all'interno di un archivio RAR protetto da password, contenente un file eseguibile denominato in modo da sembrare effettivamente una utility legittima, sempre per eludere il rilevamento. Poi, il software attiva un dropper proveniente da un altro RAR crittografato, recuperato tramite Wget cinque giorni dopo l'infezione.

Tramite comandi di PowerShell, il software ripulisce i registri di sistema e, 15 giorni dopo, recupera un altro file RAR criptato. In seguito, verifica la presenza di antivirus e aggiunge regole firewall e regole di esclusione da Windows Defender.

Al termine delle fasi preparatorie, il software di Nitrokod recupera un malware di mining noto come XMRig che analizza il sistema e invia un report a un server C2 per ricevere ulteriori istruzioni su come e quando attivarsi, quante risorse utilizzare e quali programmi cercare e terminare.

I rischi sono diversi, non solo un maggiore consumo di risorse hardware, con possibili problemi di surriscaldamento e cali di prestazioni, ma anche la possibilità che il software malevolo recuperi altri payload ben più dannosi.

Come sempre, è opportuno controllare sempre le fonti da cui scaricare i tool ed evitare quelli che promettono funzioni aggiuntive non previste dagli sviluppatori, preferendo i software condivisi ufficialmente, come l'app desktop di Google Translate e non applet di terzi, soprattutto se non si riescono a verificare fonti e attendibilità.

Leggi altri articoli