Вредоносное ПО Нитрокод

Угроза Nitrokod представляет собой угрожающий бэкдор, используемый в качестве инструмента для развертывания полезной нагрузки следующего этапа в зараженных системах. В частности, злоумышленники сбросили версию инструмента для криптомайнинга XMRig на взломанные устройства. Nitrokod разработан турецкоязычной организацией и в основном распространяется через вооруженные приложения, предлагающие функциональные возможности рабочего стола для программ и инструментов, у которых нет официальной настольной версии. Например, наиболее загружаемым приложением Nitrokod является настольное приложение Google Translate. Подробности об угрозе и цепочке ее заражения были обнародованы в отчете исследователей.

Nitrokod — это продвинутая угроза вредоносного ПО, оснащенная методами обнаружения-уклонения и анти-анализа. Он может сканировать и проверять наличие признаков виртуальных сред, а также наличие установленных на взломанных системах определенных решений для защиты от вредоносных программ и безопасности. При положительном совпадении Nitrokod прекратит свое выполнение и удалит все следы своего присутствия. Кроме того, вредоносная программа способна обходить Micorosft Defender, не будучи обнаруженной.

После полной активации Nitrokod будет собирать общие данные об устройстве и системе, а также конкретные сведения, необходимые для последующего процесса крипто-майнинга, такие как модель процессора устройства. Что делает заражение Nitrokod настолько трудным для остановки на ранней стадии, так это значительный разрыв между развертыванием бэкдора и полезной нагрузкой для крипто-майнинга. В некоторых случаях инструмент XMRig был доставлен через несколько недель после того, как вредоносное ПО Nitrokod уже установило свое присутствие внутри устройства жертвы.

XMRig — популярный инструмент в кампаниях по атаке крипто-майнинга. Он предназначен для захвата аппаратных ресурсов системы и майнинга криптовалюты Monero (XMR).