Nitrokod-malware

De Nitrokod-dreiging is een dreigende achterdeur die wordt gebruikt als hulpmiddel voor de implementatie van next-stage payloads op geïnfecteerde systemen. Meer specifiek hebben de dreigingsactoren een versie van de XMRig -tool voor cryptomining op de geschonden apparaten laten vallen. Nitrokod is ontwikkeld door een Turkssprekende entiteit en wordt voornamelijk gedistribueerd via bewapende applicaties die desktopfunctionaliteit bieden voor programma's en tools die geen officiële desktopversie hebben. De meest gedownloade Nitrokod-applicatie is bijvoorbeeld de Google Translate-desktopapplicatie. Details over de dreiging en de infectieketen werden openbaar gemaakt in een rapport van onderzoekers.

Nitrokod is een geavanceerde malwarebedreiging die is uitgerust met detectie-ontduiking en anti-analysetechnieken. Het kan scannen en controleren op tekenen van virtuele omgevingen en of op de gehackte systemen bepaalde antimalware- en beveiligingsoplossingen zijn geïnstalleerd. Bij een positieve match zal Nitrokod de uitvoering staken en alle sporen van zijn aanwezigheid verwijderen. Bovendien kan de malware Micorosft Defender omzeilen zonder te worden gedetecteerd.

Eenmaal volledig geactiveerd, verzamelt Nitrokod algemene apparaat- en systeemgegevens, evenals specifieke details die nodig zijn voor het daaropvolgende crypto-miningproces, zoals het model van de CPU van het apparaat. Wat het zo moeilijk maakt om een Nitrokod-infectie in een vroeg stadium te stoppen, is de aanzienlijke kloof tussen de inzet van de achterdeur en de nuttige lading van cryptomining. In sommige gevallen werd de XMRig-tool geleverd weken nadat de Nitrokod-malware zich al op het apparaat van het slachtoffer had gevestigd.

XMRig is een populaire tool in aanvalscampagnes voor cryptomining. Het is ontworpen om de hardwarebronnen van het systeem te kapen en specifiek voor de Monero (XMR) cryptocurrency.