Phần mềm độc hại Nitrokod

Mối đe dọa Nitrokod là một cửa hậu đe dọa được sử dụng như một công cụ để triển khai các tải trọng ở giai đoạn tiếp theo trên các hệ thống bị nhiễm. Cụ thể hơn, các tác nhân đe dọa đã thả một phiên bản của công cụ khai thác tiền điện tử XMRig xuống các thiết bị bị vi phạm. Nitrokod được phát triển bởi một thực thể nói tiếng Thổ Nhĩ Kỳ và chủ yếu được phân phối thông qua các ứng dụng vũ khí hóa cung cấp chức năng Máy tính để bàn cho các chương trình và công cụ không có phiên bản máy tính để bàn chính thức. Ví dụ: ứng dụng Nitrokod được tải xuống nhiều nhất là ứng dụng Google Dịch trên máy tính để bàn. Các chi tiết về mối đe dọa và chuỗi lây nhiễm của nó đã được các nhà nghiên cứu công bố cho công chúng trong một báo cáo.

Nitrokod là một mối đe dọa phần mềm độc hại tiên tiến được trang bị các kỹ thuật phát hiện-trốn tránh và chống phân tích. Nó có thể quét và kiểm tra các dấu hiệu của môi trường ảo và liệu các hệ thống bị xâm phạm có cài đặt các giải pháp bảo mật và chống phần mềm độc hại nhất định trên đó hay không. Sau một trận đấu tích cực, Nitrokod sẽ ngừng thực hiện và xóa bất kỳ dấu vết nào về sự hiện diện của nó. Ngoài ra, phần mềm độc hại có khả năng vượt qua Micorosft Defender mà không bị phát hiện.

Sau khi được kích hoạt hoàn toàn, Nitrokod sẽ thu thập dữ liệu hệ thống và thiết bị chung, cũng như các chi tiết cụ thể cần thiết cho quá trình khai thác tiền điện tử tiếp theo, chẳng hạn như mô hình CPU của thiết bị. Điều khiến cho việc lây nhiễm Nitrokod rất khó bị ngăn chặn sớm là khoảng cách đáng kể giữa việc triển khai backdoor và khối lượng khai thác tiền điện tử. Trong một số trường hợp, công cụ XMRig được phân phối vài tuần sau khi phần mềm độc hại Nitrokod đã thiết lập sự hiện diện của nó bên trong thiết bị của nạn nhân.

XMRig là một công cụ phổ biến trong các chiến dịch tấn công khai thác tiền điện tử. Nó được thiết kế để chiếm đoạt tài nguyên phần cứng của hệ thống và khai thác đặc biệt cho tiền điện tử Monero (XMR).