Ha sido revelada una amenaza dedicada a minería de criptomonedas que imita a la versión de escritorio de Google Translate y ha estado infectando computadoras personales desde 2019, según sugieren nuevos datos publicados por Check Point Research (CPR). Este malware, creado por una organización turca conocida como Nitrokod, ha afectado a unas 111 mil víctimas en 11 distintos países. Aparentemente los atacantes también utilizaron como estrategia el retraso del proceso de infección durante algunas semanas para evadir la detección de los anti-virus.

Según los informes, increíblemente el software malicioso también se puede encontrar a través de búsquedas regulares en Google con palabras clave como «descarga de Google Translate Desktop».

«Una vez que el usuario inicia el nuevo software, se instala una aplicación de imitación real de Google Translate. Además, se coloca un archivo de actualización en el disco, que inicia una serie de cuatro droppers hasta que se elimina el malware real».

Una vez que el malware se descarga y ejecuta, se conecta a un servidor de comando y control (C&C) para obtener una configuración para el criptominero XMRig e inicia la actividad minera.

«Actualmente, la amenaza que identificamos fue instalar sin saberlo un minero de criptomonedas, que roba recursos informáticos y los aprovecha para que el atacante los monetice», dijo Maya Horowitz, vicepresidenta de investigación de Check Point Software.

Usando el mismo flujo de ataque, el atacante también puede alterar la carga útil final del ataque, cambiándolo de un criptominero a un ransomware o troyano bancario.

El texto completo del informe técnico se puede encontrar en este enlace. La publicación se produce semanas después de que CPR publicara una lista del malware más utilizado en la naturaleza en julio.

Fuente: Info Security Magazine.