Check Point und Cybereason warnen vor neuen Kampagnen

Malware tarnt sich als Google Translate oder Update

2. September 2022, 8:00 Uhr | Wilhelm Greiner
Die Angriffsketter der Nitrokod-Malware.
Die Angriffsketter der Nitrokod-Malware.
© Check Point Software

Check Point hat eine aktive Kryptowährungs-Mining-Kampagne entdeckt, die „Google Translate Desktop“ und andere kostenlose Software imitiert, um PCs zu infizieren. Urheber ist ein türkischsprachiges Unternehmen namens Nitrokod. Es hatte damit recht großen Erfolg: Die Schadsoftware erzielte seit 2019 über 111.000 Downloads in elf Ländern. Der Endpoint-Security-Anbieter Cybereason wiederum warnt vor Malware, die sich als Google-Update tarnt.

Die Nitrokod-Kampagne arbeitet laut Check-Point-Angaben mit kostenloser Software, die auf beliebten Websites wie Softpedia oder Uptodown verfügbar ist. Die Angreifer imitieren beliebte Apps, von denen es keine echten Desktop-Versionen gibt, zum Beispiel Google Translate. Die Malware verzögere den Infektionsprozess um bis zu einen Monat, um nicht aufzufallen.

Anbieterkompass Anbieter zum Thema

zum Anbieterkompass
Die Malware erscheint als eines der Top-Suchergebnisse bei einer Suche nach einer Desktop-Version von Google Translate.
Die Malware erscheint als eines der Top-Suchergebnisse bei einer Suche nach einer Desktop-Version von Google Translate.
© Dr. Wilhelm Greiner

„Derzeit besteht die von uns identifizierte Bedrohung in der unwissentlichen Installation eines Cryptocurrency-Miners, der Computerressourcen stiehlt und sie für den Angreifer zu Geld macht“ erläutert Maya Horowitz, VP of Research bei Check Point Software. Doch die Angreifergruppe könne die Nutzlast des Angriffs einfach ändern und ihn von einem Crypto-Miner beispielsweise in Ransomware oder einen Banking-Trojaner verwandeln. „Was mich am meisten interessiert“, so Maya Horowitz, „ist die Tatsache, dass die bösartige Software so populär ist und dennoch so lange unter dem Radar blieb.“

Die Malware erscheint nach wie vor als eines der Top-Suchergebnisse, wenn man nach einer Desktop-Version von Google Translate sucht (siehe Bild). Die bisherigen Opfer stammen laut Check-Point-Angaben aus einer Handvoll Länder, darunter auch Deutschland.

Der israelisch-amerikanische Security-Anbieter Cybereason warnte kurz zuvor, dass die neue Ransomware HavanaCrypt sich als legitimer Prozess wie zum Beispiel als Google-Chrome-Update ausgibt, um Zugang zu Systemen zu erlangen. Die Malware habe man im Juni 2022 entdeckt und analysiert.

HavanaCrypt gibt sich als Google-Chrome-Update aus.
HavanaCrypt gibt sich als Google-Chrome-Update aus.
© Cybereason

HavanaCrypt nutzt laut Cybereason Funktionen des Open-Source-Passwort-Managers KeePass, um Daten zu verschlüsseln. Die Ransomware umfasse ausgefeilte Anti-Analyse-Techniken wie Codeverschleierung und VM-Erkennung, um die üblichen Sicherheits- und Abwehrmaßnahmen zu umgehen. Die Angreifergruppe steuere die Ransomware über eine Microsoft-Hosting-Adresse, habe aber noch keine Erpressernachrichten verschickt.


Verwandte Artikel

Check Point Software Technologies GmbH, Cybereason

Cybercrime

Ransomware