<?php wp_title('|', true, 'right'); ?>
By
สิงหาคม 31, 2022

ระวัง! โปรแกรมฝังมัลแวร์ขุดโทเคน Monero แพร่กระจายแล้วบนหน้าแรกของ Google Search 

การขุด
ติดตามสยามบล็อกเชนบนSiam Blockchain

มีการตรวจพบโปรแกรมที่ฝังมัลแวร์ขุดโทเคน Monero บน Google Search ในช่วงที่ผ่านมาซึ่งโปรแกรมดังกล่าวใช้เวลานานหลายปีในการติดหน้าแรกของ SEO สำหรับคำค้นหา “แปลภาษา”

โปรแกรมที่ฝังมัลแวร์ร้ายกาจได้ถูกแพร่กระจายไปยังหน้าแรกของ Google Search จำนวนมากซึ่งมีรายงานว่าคอมพิวเตอร์หลายพันเครื่องทั่วโลกได้รับมัลแวร์ดังกล่าวและขุดโทเคน Monero (XMR) ผ่านโปรแกรมจากบริษัทที่มีชื่อว่า Nitrokod ซึ่งตรวจพบโดย Check Point Research (CPR) บริษัทข่าวกรองทางไซเบอร์ในอิสราเอลเมื่อเดือนที่แล้ว

ในรายงานเมื่อวันอาทิตย์ที่ผ่านมา บริษัทกล่าว่า Nitrokod ได้กล่าวว่าตนเองให้บริการซอฟแวร์ฟรีโดยเปิดให้คนทั่วโลกใช้งานในคำค้นหาว่า “Google Translate desktop download” ซึ่งติดบนหน้าแรกของ Google Search 

สิ่งนี้ถูกเรียกว่า cryptojacking หรือมัลแวร์สำหรับการทำเหมืองขุดคริปโตโดยเฉพาะทั้งนี้มัลแวร์ดังกล่าวมีหน้าที่เพื่อแทรกซึมเข้าไปในเครื่องของผู้ใช้งานโดยมีรายงานว่ามัลแวร์ดังกล่าวเริ่มต้นทำงานตั้งแต่ต้นปี 2017 เป็นต้นมา

ก่อนหน้านี้ CPR ตรวจพบมัลแวร์ cryptojacking ที่รู้จักกันดี CoinHive ซึ่งขุด XMR ด้วยในเดือนพฤศจิกายนของปีนั้น CoinHive ถูกกล่าวว่าขโมย 65% ของทรัพยากร CPU ทั้งหมดของผู้ใช้ปลายทางโดยที่พวกเขาไม่รู้ตัว ซึ่งนักวิชาการได้คำนวณว่ามัลแวร์ดังกล่าวได้สร้างรายได้ให้กับผู้สร้างไปแล้วมากกว่า 250,000 ดอลลาร์ต่อเดือน

สำหรับ Nitrokod นั้น CPR เชื่อว่าถูกนำไปใช้งานโดยหน่วยงานสำหรับการแปลภาษาตุรกีในช่วงปี 2019 โดยมัลแวร์ได้ดำเนินการหลบหนี 7 ครั้งไปตามเส้นทางส่วนอื่น ๆ บนคอมพิวเตอร์เพื่อหลีกเลี่ยงการตรวจจับจากโปรแกรมป้องกันไวรัสทั่วไป

“มีการตรวจพบมัลแวร์จากซอฟต์แวร์ที่พบในผลการค้นหาอันดับต้น ๆ ของ Google ซึ่งเป็นแอปพลิเคชันที่ถูกต้องตามกฎหมาย” 

ที่มา : Check Point Research

หลังจากดาวน์โหลดแอปพลิเคชัน โปรแกรมติดตั้งจะมัลแวร์ลงบนเครื่องและอัปเดตตัวเองอย่างต่อเนื่องทุกครั้งที่เริ่มระบบใหม่ โดยในวันที่ 5 โปรแกรมจะมีความล่าช้ามากยิ่งขึ้นเนื่องจากส่วนใหญ่ถูกนำไปใช้เพื่อขุด crypto 

จากนั้นไฟล์จะเริ่มต้นขั้นตอนสุดท้ายของ Nitrokod ซึ่งดำเนินการล้างบันทึกและเพิ่มข้อยกเว้นให้กับไฟร์วอลล์ของโปรแกรมป้องกันไวรัสเมื่อผ่านไป 15 วัน

ในที่สุด มัลแวร์ การขุด crypto “powermanager.exe” จะถูกติดตั้งบนเครื่องที่ติดไวรัสอย่างถาวรและตั้งค่าสำหรับการขุด crypto โดยใช้จะขุดผ่าน CPU แบบโอเพ่นซอร์ส Monero XMRig (อันเดียวกับที่ CoinHive ใช้)

“หลังจากการติดตั้งซอฟต์แวร์ครั้งแรก ผู้โจมตีได้ชะลอกระบวนการติดไวรัสเป็นเวลาหลายสัปดาห์และลบร่องรอยออกจากการติดตั้งดั้งเดิม” 

อย่างไรก็ตาม CPR ได้เปิดเผยรายละเอียดและวิธีการทำความสะอาดเครื่องที่ติดเชื้อ Nitrokod ซึ่งคุณสามารถดูได้ตามลิงก์ต่อไปนี้ วิธีทำความสะอาดมัลแวร์