Check Point Software Technologiesは8月29日(米国時間)、「Check Point Research detects Crypto Miner malware disguised as Google translate desktop and other legitimate applications - Check Point Research」において、Google翻訳デスクトップアプリを装ったクリプトマイナーを検出したと伝えた。「Nitrokod」と呼ばれるこれまで非公開だったクリプトマイニングキャンペーンが検知され、全世界で数千台のマシンが感染した可能性があることがわかった。

  • Check Point Research detects Crypto Miner malware disguised as Google translate desktop and other legitimate applications - Check Point Research

    Check Point Research detects Crypto Miner malware disguised as Google translate desktop and other legitimate applications - Check Point Research

トルコ語を話すサイバー犯罪者によって展開されたこのキャンペーンでは、Softpediaやuptodownなどの人気Webサイトで入手できる無料ソフトウェアからマルウェアをドロップしていたことが明らかとなった。この無料ソフトウェアは、Googleで「Google Translate Desktop download」と検索するだけで、簡単に見つけられるとされている。

この悪意のあるソフトウェアはインストールされてから数週間感染プロセスを遅らせ、マルウェアの侵入痕跡をわかりにくくすることで、検出を回避していたという。そのため、このキャンペーンが何年にもわたって水面下で成功裏に運営されていたと分析されている。

ユーザーがこのソフトウェアを起動すると、まず実際のGoogle翻訳アプリケーションがインストールされる。マルウェアは6つの初期段階の感染プログラムの後に配信されるようになっており、最終的にコマンド&コントロール(C2: Command and Control)サーバへの接続が確立され、マイニングツールが取得されるようになっているとのことだ。

Check Point Researchの調査によって、このキャンペーンが11カ国で展開されていることが確認されている。Nitrokodはフリーソフトウェアを提供しているサイトで入手可能なソフトウェアからマルウェアを数週間送らせてドロップさせるというユニークな攻撃手法を採用しており、無料で人気のあるソフトウェアだからといって安全であるとは限らないと意識しておくことが重要とされている。