Logiciel malveillant Nitrokod

La menace Nitrokod est une porte dérobée menaçante utilisée comme outil pour le déploiement de charges utiles de la prochaine étape sur les systèmes infectés. Plus précisément, les acteurs de la menace ont déposé une version de l'outil de crypto-minage XMRig sur les appareils piratés. Nitrokod est développé par une entité turcophone et est principalement distribué via des applications militarisées offrant des fonctionnalités de bureau pour les programmes et les outils qui n'ont pas de version de bureau officielle. Par exemple, l'application Nitrokod la plus téléchargée est l'application de bureau Google Translate. Des détails sur la menace et sa chaîne d'infection ont été rendus publics dans un rapport de chercheurs.

Nitrokod est une menace malveillante avancée équipée de techniques de détection, d'évasion et d'anti-analyse. Il peut analyser et vérifier les signes d'environnements virtuels et si les systèmes piratés disposent de certaines solutions anti-malware et de sécurité installées sur eux. En cas de correspondance positive, Nitrokod cessera son exécution et supprimera toute trace de sa présence. De plus, le malware est capable de contourner Micorosft Defender sans être détecté.

Une fois entièrement activé, Nitrokod collectera les données générales de l'appareil et du système, ainsi que les détails spécifiques nécessaires au processus de crypto-extraction ultérieur, tels que le modèle du processeur de l'appareil. Ce qui rend une infection Nitrokod si difficile à arrêter dès le début, c'est l'écart important entre le déploiement de la porte dérobée et la charge utile de crypto-minage. Dans certains cas, l'outil XMRig a été livré des semaines après que le malware Nitrokod ait déjà établi sa présence dans l'appareil de la victime.

XMRig est un outil populaire dans les campagnes d'attaque de crypto-minage. Il est conçu pour détourner les ressources matérielles du système et exploiter spécifiquement la crypto-monnaie Monero (XMR).