- Ar hyn o bryd mae Nitrokod i'w weld ar frig canlyniadau chwilio Google ar gyfer apiau poblogaidd, gan gynnwys Translate
- Mae'r malware yn cloddio monero yn faleisus gan ddefnyddio adnoddau cyfrifiadurol defnyddwyr, gan adleisio CoinHive a oedd unwaith yn doreithiog
Mae ymgyrch malware llechwraidd sy'n targedu defnyddwyr sy'n chwilio am gymwysiadau Google wedi heintio miloedd o gyfrifiaduron yn fyd-eang i gloddio crypto monero sy'n canolbwyntio ar breifatrwydd (XMR).
Mae'n debyg nad ydych erioed wedi clywed am Nitrokod. Fe ddaeth y cwmni cudd-wybodaeth seiber o Israel, Check Point Research (CPR) ar draws y drwgwedd fis diwethaf.
Mewn adroddiad ddydd Sul, dywedodd y cwmni fod Nitrokod yn cuddio ei hun i ddechrau fel meddalwedd am ddim, ar ôl cael llwyddiant rhyfeddol ar frig canlyniadau chwilio Google ar gyfer “lawrlwytho bwrdd gwaith Google Translate.”
Fe'i gelwir hefyd yn cryptojacking, mae malware mwyngloddio wedi'i ddefnyddio i ymdreiddio i beiriannau defnyddwyr diniwed ers o leiaf 2017, pan ddaethant i amlygrwydd ochr yn ochr â phoblogrwydd crypto.
Yn flaenorol, canfu CPR malware cryptojacking adnabyddus CoinHive, a oedd hefyd yn cloddio XMR, ym mis Tachwedd y flwyddyn honno. Dywedwyd bod CoinHive yn dwyn 65% o gyfanswm adnoddau CPU defnyddiwr terfynol heb yn wybod iddynt. Academyddion cyfrifo roedd y malware yn cynhyrchu $250,000 y mis ar ei anterth, gyda'r rhan fwyaf ohono'n mynd i lai na dwsin o unigolion.
O ran Nitrokod, mae CPR yn credu iddo gael ei ddefnyddio gan endid sy'n siarad Tyrceg rywbryd yn 2019. Mae'n gweithredu ar draws saith cam wrth iddo symud ar hyd ei lwybr i osgoi canfod o raglenni gwrthfeirws nodweddiadol ac amddiffynfeydd system.
“Mae’n hawdd gollwng y meddalwedd maleisus o’r meddalwedd a geir ar brif ganlyniadau chwilio Google ar gyfer cymwysiadau cyfreithlon,” ysgrifennodd y cwmni yn ei adroddiad.
Canfuwyd bod Softpedia ac Uptodown yn ddwy brif ffynhonnell o gymwysiadau ffug. Mae Blockworks wedi estyn allan i Google i ddysgu mwy am sut mae'n hidlo'r mathau hyn o fygythiadau.
Ar ôl lawrlwytho'r cais, mae gosodwr yn gweithredu dropper gohiriedig ac yn diweddaru ei hun yn barhaus ar bob ailgychwyn. Ar y pumed diwrnod, mae'r dropper gohiriedig yn echdynnu ffeil wedi'i hamgryptio.
Yna mae'r ffeil yn cychwyn ar gamau olaf Nitrokod, sy'n mynd ati i amserlennu tasgau, clirio logiau ac ychwanegu eithriadau i waliau tân gwrthfeirws unwaith y bydd 15 diwrnod wedi ticio.
Yn olaf, mae meddalwedd maleisus mwyngloddio crypto “powermanager.exe” yn cael ei ollwng yn llechwraidd ar y peiriant heintiedig ac yn mynd ati i gynhyrchu crypto gan ddefnyddio glöwr CPU ffynhonnell agored yn seiliedig ar Monero XMRig (yr un un a ddefnyddir gan CoinHive).
“Ar ôl gosod y feddalwedd gychwynnol, fe wnaeth yr ymosodwyr ohirio’r broses heintio am wythnosau a dileu olion o’r gosodiad gwreiddiol,” ysgrifennodd y cwmni yn ei adroddiad. “Galluogodd hyn i’r ymgyrch weithredu’n llwyddiannus o dan y radar am flynyddoedd.”
Mae manylion am sut i lanhau peiriannau sydd wedi'u heintio â Nitrokod ar gael yn y diwedd adroddiad bygythiad CPR.
Sicrhewch fod newyddion a mewnwelediadau crypto gorau'r dydd yn cael eu dosbarthu i'ch mewnflwch bob nos. Tanysgrifiwch i gylchlythyr rhad ac am ddim Blockworks yn awr.
Ffynhonnell: https://blockworks.co/monero-mining-malware-finds-success-at-top-of-google-search/