این برنامه های رایگان ویندوز یک راز خطرناک را پنهان می کنند

نصب بدافزار توزیع شده از طریق سایت‌های نرم‌افزار رایگان پس از یک ماه تاخیر فعال شد و در نهایت به جلوگیری از قرار گرفتن در معرض آن کمک کرد.

همانطور که Bleeping Computer گزارش می دهد، کمپین بدافزار به عنوان Google Translate یا دانلود کننده MP3 ظاهر می شود. با این حال، در واقع به عنوان یک بدافزار استخراج ارز دیجیتال برای سیستم های مبتنی بر ویندوز کار می کند.

این برنامه‌های جعلی که تاکنون در 11 کشور شناسایی شده‌اند، به‌طور برجسته در سایت‌های نرم‌افزار رایگان پنهان می‌شوند. گزارشی توسط Check Point توضیح می‌دهد که چگونه یک توسعه‌دهنده با نام Nitrokod پشت این بدافزار است.

اگرچه این برنامه‌ها قانونی به نظر می‌رسند، اما Check Point تأیید کرده است که چگونه برنامه‌ها نصب بدافزار را تقریباً یک ماه به تاخیر می‌اندازند. از آنجا، زنجیره عفونت “پس از یک تاخیر طولانی با استفاده از مکانیسم وظایف برنامه ریزی شده ادامه یافت”، که به عوامل تهدید فرصت کافی برای خلاص شدن از شر هرگونه شواهدی را می داد.

هنگامی که قربانی یکی از نرم‌افزارهای آلوده را اجرا می‌کند، یک برنامه Google Translate قانونی روی سیستم نصب می‌شود. سپس این برنامه می‌تواند تمام گزارش‌های سیستم را از طریق دستورات PowerShell پاک کند، علاوه بر آن قانون فایروال را اعمال می‌کند و خود را از شناسایی توسط Windows Defender مستثنی می‌کند.

پس از گذشت چند هفته، بدافزار بارگیری می‌شود، سپس به یک سرور C&C متصل می‌شود تا پیکربندی استخراج‌کننده کریپتو XMRig را دریافت کند. این به فایل های برنامه مخرب اجازه می دهد تا فعالیت استخراج را در رایانه هدف شروع کنند.

سایت‌های نرم‌افزار رایگان یک عبارت جستجوی بسیار محبوب برای گوگل هستند و برنامه‌های جعلی Nitrokod در نتایج جستجو رتبه بالایی دارند. یکی از این وب سایت ها، Softpedia، بیش از 112000 بار دانلود را برای برنامه Google Translate توسعه دهنده ارائه کرده است.

همانطور که توسط Bleeping Computer اشاره شده است، بدافزار استخراج کریپتو به دلیل تاثیری که بر سخت افزار می گذارد و همچنین به طور طبیعی باعث گرم شدن بیش از حد سیستم می شود، می تواند سیستم را تحت فشار زیادی قرار دهد. در صورت استفاده از منابع CPU اضافی، عملکرد کلی دستگاه نیز می تواند تأثیر منفی بگذارد.

از نظر بدافزارهای مخربی که فعال می‌شوند، اگر تهدید این کار را بکند، می‌توان آن را به کد بالقوه خطرناک‌تر تغییر داد.

لازم به تاکید است که همیشه باید بررسی کنید که آیا برنامه ها را از منابع رسمی دانلود می کنید و مراقب توسعه دهندگان مشکوک باشید، حتی اگر نسخه آنها توسط صدها هزار نفر دانلود شده باشد.

توصیه های سردبیران