Google Translate: o Tradutor Google foi usado neste esquema de mineração de criptomoedas

Rui Bacelar
Comentar

As criptomoedas e outros ativos digitais continuam a ser um dos produtos mais cobiçados e, como tal, especialmente tentadores para os amigos do alheio. Agora, foi detetada uma nova campanha que coloca o malware através de software gratuito disponível em websites populares como o Softpedia e o uptodown. O isco? A plataforma Google Translate, o Tradutor Google que serviu como engodo.

O método de ataque favorito visou aplicações reais que não têm uma versão desktop. Para além disso, as principais vítimas detetadas localizavam-se no Reino Unido, EUA, Sri Lanka, Grécia, Israel, Alemanha, Turquia, Chipre, Austrália, Mongólia e Polónia.

Google Translate utilizado para infetar utilizadores com software de mineração de criptomoedas

O alerta foi dado pela agência de ciber segurança Check Point Research, tratando-se de uma campanha de mineração de moedas criptográficas imitando o "Google Translate Desktop" e outro software gratuito para infectar PCs.

Esta campanha foi criada por uma entidade de língua turca chamada Nitrokod. Desde então, a campanha conta com 111.000 downloads em 11 países desde 2019. Ademais, os atacantes atrasam o processo de infeção durante semanas para escapar à deteção.

Segundo o testemunho da CPR, os atacantes podem facilmente optar por alterar o malware, mudando-o de um mineiro criptográfico para troianos de resgate ou troianos bancários, por exemplo.

Além disso, esta campanha coloca o malware em softwares gratuitos disponíveis em websites populares como o Softpedia e o uptodown. E, os softwares maliciosos também podem ser facilmente encontrados através do Google quando os utilizadores procuram "Google Translate Desktop download".

É aqui que entra o engodo do Tradutor Google. Logo após a instalação inicial do software, os atacantes atrasam o processo de infeção durante semanas, apagando vestígios da instalação original.

"Download da versão para desktop" servia como isco para fomentar a instalação

Google Tradutor
Principais resultados para "Google Translate Desktop download". Crédito: divulgação CPR

A campanha tem funcionado com sucesso sob o radar durante anos. Para evitar a deteção, os autores da Nitrokod implementaram algumas estratégias-chave:

  • O malware é executado pela primeira vez quase um mês após o programa Nitrokod ser instalado
  • O malware é entregue após 6 fases iniciais de programas infetados
  • A cadeia de infeção é continuada após um longo atraso, utilizando um mecanismo de tarefas programadas, dando aos atacantes tempo para limparem todas as suas provas

A cadeia de Infeção para este vetor de ataque

  1. A infeção começa com a instalação de um programa infetado descarregado a partir da Web
  2. Assim que o utilizador lança o novo software, é instalada uma verdadeira aplicação de imitação Google Translate. Além disso, um ficheiro de atualização é largado no disco, o qual inicia uma série de quatro downloads até que o malware real seja lançado.
  3. Após o malware ser executado, este liga-se ao seu servidor C&C (Command & Control) para obter uma configuração para o mineiro criptográfico XMRig e inicia a atividade de mineração.
Mapa da Cadeia de Infeções
Mapa da Cadeia de Infeções. Crédito: divulgação CPR

Lista de países com vítimas confirmadas:

  • EUA
  • Reino Unido
  • Sri Lanka
  • Grécia
  • Israel
  • Alemanha
  • Turquia
  • Chipre
  • Austrália
  • Mongólia
  • Polónia
Rui Bacelar
Rui Bacelar
Na escrita e comunicação repousa o gosto, nas leis a formação. Ocupa-se com as novidades de tecnologia na 4gnews. Email: ruifbacelar@gmail.com