Programari maliciós Nitrokod

L'amenaça Nitrokod és una porta posterior amenaçadora que s'utilitza com a eina per al desplegament de càrregues útils de la següent etapa en sistemes infectats. Més concretament, els actors de l'amenaça van deixar caure una versió de l'eina de criptomineria XMRig als dispositius violats. Nitrokod està desenvolupat per una entitat de parla turca i es distribueix principalment a través d'aplicacions armades que ofereixen funcionalitats d'escriptori per a programes i eines que no tenen una versió oficial d'escriptori. Per exemple, l'aplicació Nitrokod més baixada és l'aplicació d'escriptori Google Translate. Els detalls sobre l'amenaça i la seva cadena d'infecció es van donar a conèixer al públic en un informe dels investigadors.

Nitrokod és una amenaça de programari maliciós avançat equipat amb tècniques de detecció-evasió i antianàlisi. Pot escanejar i comprovar si hi ha indicis d'entorns virtuals i si els sistemes violats tenen certes solucions de seguretat i anti-malware instal·lades. En un partit positiu, Nitrokod deixarà d'executar-se i esborrarà qualsevol rastre de la seva presència. A més, el programari maliciós és capaç de passar per alt Micorosft Defender sense ser detectat.

Un cop totalment activat, Nitrokod recopilarà dades generals del dispositiu i del sistema, així com detalls específics necessaris per al procés de criptomineria posterior, com ara el model de la CPU del dispositiu. El que fa que una infecció per Nitrokod sigui tan difícil d'aturar al principi és la bretxa important entre el desplegament de la porta del darrere i la càrrega útil de la criptomineria. En alguns casos, l'eina XMRig es va lliurar setmanes després que el programari maliciós Nitrokod ja hagués establert la seva presència dins del dispositiu de la víctima.

XMRig és una eina popular en campanyes d'atac de criptomineria. Està dissenyat per segrestar els recursos de maquinari del sistema i els meus per a la criptomoneda Monero (XMR) específicament.