Dans une faille de cybersécurité majeure découverte récemment, les pirates utilisent depuis 2019 une fausse application Google Translate pour infecter des milliers de PC Windows avec des logiciels malveillants afin d’exploiter illégalement la crypto sans l’autorisation de l’utilisateur.

Ce logiciel malveillant de cryptojacking a été créé par une société turque appelée Nitrokod. Le logiciel malveillant exploite la crypto-monnaie en utilisant l’unité de traitement graphique (GPU) des hôtes, sans l’autorisation des utilisateurs. Il a été rapporté qu’il a infecté des milliers d’ordinateurs Windows dans le monde, selon un rapport de la société de recherche sur la cybersécurité, Check Point Research. Ce processus utilise une quantité importante d’énergie pour exploiter illégalement la cryptographie sans l’autorisation de l’utilisateur.

« Le malware est supprimé des applications qui sont populaires, mais qui n’ont pas de version de bureau réelle, comme Google Translate, gardant les versions de malware en demande et exclusives », Check

Moshe Marelus, analyste des logiciels malveillants Point, a écrit dans un rapport lundi.

Comment les utilisateurs sont-ils affectés ?

Une fois que l’utilisateur a installé l’application infectée par le logiciel malveillant sur l’ordinateur, l’application installe

Google translate, et en utilisant le code chrome, traduit la page Web à partir du programme Google Translate actuel. Cela permet aux pirates de donner des fonctionnalités à leurs programmes infectés par des logiciels malveillants. Une vérification de mise à jour planifiée est envoyée à chaque démarrage du système.

Ensuite, les pirates attendent patiemment pendant un mois l’installation du logiciel de minage, afin que l’utilisateur ne détecte aucune activité inhabituelle dans la consommation d’énergie.

Tout d’abord, un message post-installation contenant les informations de la machine infectée est envoyé au domaine Nitrokod. Ensuite, un vérificateur de mise à jour planifiée est installé, qui vérifie avec le domaine Nitrokod à chaque démarrage du système.

Une fois que l’utilisateur a redémarré le système quatre fois, le compte-gouttes de quatrième étape chainlink1.07.exe est extrait d’un autre fichier RAR crypté. De cette façon, le pirate évite la détection de Sandbox effectuée par le logiciel antivirus.

Ensuite, le compte-gouttes de l’étape 4 est responsable de la création de quatre tâches. La première consiste à installer Dropper 5, qui vérifie le système pour certains pare-feu de sécurité. S’il détecte que les pare-feux sont activés, il en informe les serveurs des pirates.

Ensuite, tous les fichiers entrants sont déposés dans un dossier temporaire, tandis que l’activité Windows Defender est exclue du dossier temporaire. Ensuite, le logiciel malveillant de minage est déposé dans le dossier temporaire, qui mine la crypto sans l’autorisation des utilisateurs. Ce programme est nommé powermanager.exe.

Utilisateurs concernés

Les victimes appartiennent principalement au Royaume-Uni, aux États-Unis, au Sri Lanka, à la Grèce, à Israël, à l’Allemagne, à la Turquie, à Chypre, à l’Australie, à la Mongolie et à la Pologne.

La campagne de chevaux de Troie consiste à diffuser des logiciels malveillants à l’aide de programmes gratuits disponibles sur des sites Web bien connus tels que Softpedia et Uptodown, selon le rapport.

« En utilisant une stratégie intéressante, le malware retarde l’exécution pendant des semaines tout en gardant son comportement dangereux distinct du faux logiciel téléchargé. Avec l’aide de sites Web de téléchargement comme Softpedia, Nitrokod a été efficace pour diffuser son code infecté », indique le rapport.

Incidemment, le programme Nitrokod Google Translator a été téléchargé plus de 112 000 fois, depuis décembre 2019, selon Softpedia.

En plus de Google Translate, Nitrokod utilise également des applications de téléchargement MP3 et d’autres logiciels de traduction, tels que Microsoft Translator Desktop. Sur certains sites Web, les logiciels malveillants s’exclameront qu’ils sont 100 % propres, alors qu’en réalité, ils contiennent des logiciels malveillants de minage.