Malware Nitrokod

La minaccia Nitrokod è una backdoor minacciosa utilizzata come strumento per l'implementazione di payload di fase successiva su sistemi infetti. Più specificamente, gli attori delle minacce hanno rilasciato una versione dello strumento di cripto-mining XMRig sui dispositivi violati. Nitrokod è sviluppato da un'entità di lingua turca ed è distribuito principalmente tramite applicazioni armate che offrono funzionalità desktop per programmi e strumenti che non dispongono di una versione desktop ufficiale. Ad esempio, l'applicazione Nitrokod più scaricata è l'applicazione desktop Google Translate. I dettagli sulla minaccia e la sua catena di infezione sono stati resi pubblici in un rapporto dei ricercatori.

Nitrokod è una minaccia malware avanzata dotata di tecniche di rilevamento-evasione e anti-analisi. Può scansionare e verificare la presenza di segni di ambienti virtuali e se i sistemi violati hanno determinate soluzioni anti-malware e di sicurezza installate su di essi. In caso di corrispondenza positiva, Nitrokod cesserà la sua esecuzione e cancellerà ogni traccia della sua presenza. Inoltre, il malware è in grado di aggirare Microrosft Defender senza essere rilevato.

Una volta completamente attivato, Nitrokod raccoglierà i dati generali del dispositivo e del sistema, nonché i dettagli specifici necessari per il successivo processo di cripto-mining, come il modello della CPU del dispositivo. Ciò che rende così difficile fermare un'infezione Nitrokod in anticipo è il divario significativo tra l'implementazione della backdoor e il payload di cripto-mining. In alcuni casi, lo strumento XMRig è stato consegnato settimane dopo che il malware Nitrokod aveva già stabilito la sua presenza all'interno del dispositivo della vittima.

XMRig è uno strumento popolare nelle campagne di attacco di cripto-mining. È progettato per dirottare le risorse hardware del sistema ed estrarre specificamente la criptovaluta Monero (XMR).