Descubierta una campaña activa de minería de criptomonedas que imita a Google Desktop Translate

La compañía de ciberseguridad Check Point ha indicado que esta campaña ha operado con éxito durante años y que se ha cobrado unas 111.000 víctimas en 11 países desde 2019, según ha puntualizado en un comunicado remitido a Europa Press.

Al parecer, los ciberdelincuentes lanzar el 'software' gratuito disponible en sitios web populares, como Softpedia y Uptodown. No obstante, este también se puede encontrar fácilmente a través de Google.

Concretamente, cuando teclean 'Google Translate Desktop download' en el buscador. Tras instalar el 'software', los atacantes retrasan el proceso de infección durante semanas para asegurarse de que elimina los rastros de la descarga original.

Desde Check Point destacan que el éxito de esta campaña, creada por una entidad de habla turca llamada Nitrokod, se debe a que los cibercriminales han implementado algunas estrategias clave.

Entre ellas, la prórroga del inicio de actividad del 'software' malicioso, que se ejecuta por primera vez casi un mes después de la instalación del programa falsificado. Además, este se entrega después de 6 etapas anteriores de programas infectados.

Por otra parte, la cadena de infección continúa tras este retraso utilizando un mecanismo de tareas programadas, de modo que los atacantes pueden eliminar todas sus pruebas en este período de tiempo.

En cuanto a la metodología, esta campala se caracteriza porque la infección comienza con la instalación de un programa o servicio previamente infectado y descargado de una página web.

Entonces, se instala una aplicación real de imitación de Google Translate y se suelta un archivo de actualización en el disco que inicia una serie de cuatro 'doppers' hasta que se suelta el 'malware' real.

Una vez ejecutado, se cnecta a su servidor de comando y control (C&C) para obtener una configuración para el programa de minado de criptomonedas XMRig y comienza su acividad.

Para evitar este tipo de ataques, desde la empresa de ciberseguridad recomiendan tener en cuenta los dominios de las páginas web y detecta posibles errores ortográficos en ellas, así como en los remitentes de correo electrónico desconocidos.

También es aconsejable descargar 'software' solo de editores y proveedores autorizados y conocidos y prevenir los ataques de día cero, con una arquitectura integral y actualizada.