มีการตรวจพบโปรแกรมที่ฝังมัลแวร์ขุดโทเคน Monero บน Google Search ในช่วงที่ผ่านมาซึ่งโปรแกรมดังกล่าวใช้เวลานานหลายปีในการติดหน้าแรกของ SEO สำหรับคำค้นหา “แปลภาษา”
โปรแกรมที่ฝังมัลแวร์ร้ายกาจได้ถูกแพร่กระจายไปยังหน้าแรกของ Google Search จำนวนมากซึ่งมีรายงานว่าคอมพิวเตอร์หลายพันเครื่องทั่วโลกได้รับมัลแวร์ดังกล่าวและขุดโทเคน Monero (XMR) ผ่านโปรแกรมจากบริษัทที่มีชื่อว่า Nitrokod ซึ่งตรวจพบโดย Check Point Research (CPR) บริษัทข่าวกรองทางไซเบอร์ในอิสราเอลเมื่อเดือนที่แล้ว
ในรายงานเมื่อวันอาทิตย์ที่ผ่านมา บริษัทกล่าว่า Nitrokod ได้กล่าวว่าตนเองให้บริการซอฟแวร์ฟรีโดยเปิดให้คนทั่วโลกใช้งานในคำค้นหาว่า “Google Translate desktop download” ซึ่งติดบนหน้าแรกของ Google Search
สิ่งนี้ถูกเรียกว่า cryptojacking หรือมัลแวร์สำหรับการทำเหมืองขุดคริปโตโดยเฉพาะทั้งนี้มัลแวร์ดังกล่าวมีหน้าที่เพื่อแทรกซึมเข้าไปในเครื่องของผู้ใช้งานโดยมีรายงานว่ามัลแวร์ดังกล่าวเริ่มต้นทำงานตั้งแต่ต้นปี 2017 เป็นต้นมา
ก่อนหน้านี้ CPR ตรวจพบมัลแวร์ cryptojacking ที่รู้จักกันดี CoinHive ซึ่งขุด XMR ด้วยในเดือนพฤศจิกายนของปีนั้น CoinHive ถูกกล่าวว่าขโมย 65% ของทรัพยากร CPU ทั้งหมดของผู้ใช้ปลายทางโดยที่พวกเขาไม่รู้ตัว ซึ่งนักวิชาการได้คำนวณว่ามัลแวร์ดังกล่าวได้สร้างรายได้ให้กับผู้สร้างไปแล้วมากกว่า 250,000 ดอลลาร์ต่อเดือน
สำหรับ Nitrokod นั้น CPR เชื่อว่าถูกนำไปใช้งานโดยหน่วยงานสำหรับการแปลภาษาตุรกีในช่วงปี 2019 โดยมัลแวร์ได้ดำเนินการหลบหนี 7 ครั้งไปตามเส้นทางส่วนอื่น ๆ บนคอมพิวเตอร์เพื่อหลีกเลี่ยงการตรวจจับจากโปรแกรมป้องกันไวรัสทั่วไป
“มีการตรวจพบมัลแวร์จากซอฟต์แวร์ที่พบในผลการค้นหาอันดับต้น ๆ ของ Google ซึ่งเป็นแอปพลิเคชันที่ถูกต้องตามกฎหมาย”
หลังจากดาวน์โหลดแอปพลิเคชัน โปรแกรมติดตั้งจะมัลแวร์ลงบนเครื่องและอัปเดตตัวเองอย่างต่อเนื่องทุกครั้งที่เริ่มระบบใหม่ โดยในวันที่ 5 โปรแกรมจะมีความล่าช้ามากยิ่งขึ้นเนื่องจากส่วนใหญ่ถูกนำไปใช้เพื่อขุด crypto
จากนั้นไฟล์จะเริ่มต้นขั้นตอนสุดท้ายของ Nitrokod ซึ่งดำเนินการล้างบันทึกและเพิ่มข้อยกเว้นให้กับไฟร์วอลล์ของโปรแกรมป้องกันไวรัสเมื่อผ่านไป 15 วัน
ในที่สุด มัลแวร์ การขุด crypto “powermanager.exe” จะถูกติดตั้งบนเครื่องที่ติดไวรัสอย่างถาวรและตั้งค่าสำหรับการขุด crypto โดยใช้จะขุดผ่าน CPU แบบโอเพ่นซอร์ส Monero XMRig (อันเดียวกับที่ CoinHive ใช้)
“หลังจากการติดตั้งซอฟต์แวร์ครั้งแรก ผู้โจมตีได้ชะลอกระบวนการติดไวรัสเป็นเวลาหลายสัปดาห์และลบร่องรอยออกจากการติดตั้งดั้งเดิม”
อย่างไรก็ตาม CPR ได้เปิดเผยรายละเอียดและวิธีการทำความสะอาดเครื่องที่ติดเชื้อ Nitrokod ซึ่งคุณสามารถดูได้ตามลิงก์ต่อไปนี้ วิธีทำความสะอาดมัลแวร์