Nitrokod Malware

Nitrokod-truslen er en truende bagdør, der bruges som et værktøj til implementering af næste trins nyttelast på inficerede systemer. Mere specifikt droppede trusselsaktørerne en version af XMRig -krypteringsværktøjet til de brudte enheder. Nitrokod er udviklet af en tyrkisktalende enhed og distribueres hovedsageligt gennem våbenbaserede applikationer, der tilbyder Desktop-funktionalitet til programmer og værktøjer, der ikke har en officiel desktopversion. For eksempel er den mest downloadede Nitrokod-applikation Google Translate desktop-applikationen. Detaljer om truslen og dens infektionskæde blev frigivet til offentligheden i en rapport fra forskere.

Nitrokod er en avanceret malwaretrussel, der er udstyret med detektions-unddragelse og anti-analyseteknikker. Den kan scanne og tjekke for tegn på virtuelle miljøer, og om de brudte systemer har visse anti-malware- og sikkerhedsløsninger installeret på dem. Ved et positivt match vil Nitrokod standse sin udførelse og slette alle spor af sin tilstedeværelse. Derudover er malwaren i stand til at omgå Micorosft Defender uden at blive opdaget.

Når den er fuldt aktiveret, vil Nitrokod indsamle generelle enheds- og systemdata samt specifikke detaljer, der er nødvendige for den efterfølgende krypto-mineproces, såsom modellen for enhedens CPU. Det, der gør en Nitrokod-infektion så svær at stoppe tidligt, er den betydelige kløft mellem udrulningen af bagdøren og kryptominedriftens nyttelast. I nogle tilfælde blev XMRig-værktøjet leveret uger efter, at Nitrokod-malwaren allerede havde etableret sin tilstedeværelse inde i offerets enhed.

XMRig er et populært værktøj i krypto-mining-angrebskampagner. Det er designet til at kapre systemets hardwareressourcer og miner specifikt til Monero (XMR) kryptovaluta.