Cette fausse application « Google » infecte les PC avec un logiciel de crypto-minage pour faire du ransomware

Vous avez Google Traduction sur votre bureau ? Fais attention! Le géant des moteurs de recherche n’a jamais publié une version de bureau de son outil de langage ultra-populaire, il y a donc de fortes chances que vous ayez une application frauduleuse se faisant passer pour un logiciel malveillant sur votre PC.

Selon le nouveau rapport de Check Point Research (CPR), une campagne cybercriminelle, baptisée Nitrokod, masque le logiciel de crypto-minage comme la version de bureau de Google Translate (ainsi que d’autres applications à consonance légitime) pour gagner secrètement de l’argent auprès de victimes sans méfiance.

Cette application Google n’est peut-être pas ce que vous pensiez qu’elle était

Lorsque les utilisateurs recherchent « Télécharger Google Translate Desktop », le lien malveillant vers le logiciel infecté par un logiciel malveillant apparaît en haut des résultats de recherche Google (je l’ai vérifié moi-même et il est toujours là).Fausse application de bureau Google Translate

Fausse application de bureau Google Translate (Crédit image : Check Point Research)

Après que les victimes ont téléchargé sans le savoir l’application malveillante et bidon Google Translate, quelque chose d’intéressant se produit : le processus d’infection ne se produit pas tout de suite. Au lieu de cela, les cybercriminels le retardent, souillant insidieusement les PC des utilisateurs après une période de plusieurs semaines. Ils suppriment également les traces de l’installation d’origine.

« Une fois que l’utilisateur lance le nouveau logiciel, une véritable application Google Translate est installée », indique le rapport du CPR. En d’autres termes, pour aggraver les choses, le développeur malveillant de l’application de bureau Google Translate a créé un programme réaliste utilisant un framework basé sur Chromium qui convertit la page Web Google Translate en une plate-forme fonctionnelle.

« De plus, un fichier mis à jour est supprimé, ce qui démarre une série de quatre droppers jusqu’à ce que le réel les logiciels malveillants sont supprimés », a ajouté le rapport du CPR.

Une fois que le logiciel malveillant « fait enfin son apparition », il se connecte à un serveur de commande et de contrôle qui lance une activité de crypto-extraction non autorisée, permettant aux cybercriminels de gagner subrepticement de l’argent auprès d’utilisateurs sans méfiance de l’application de bureau Google Translate.

Les cybercriminels ne collectent probablement rien d’exigeant ni de gourmand en énergie comme Bitcoin ou Ethereum, mais ils pourraient exploiter Dogecoin ou gagner gratuitement Shiba Inu. S’ils drainent suffisamment de victimes, ils pourraient faire des profits importants.

Fausses applications de crypto-minage

(Crédit image : Check Point Research)

Check Point Research soupçonne que Nitrokod a infecté des milliers de machines dans le monde dans 11 pays. Gardez à l’esprit que la fausse application de bureau Google Translate n’est pas le seul appât utilisé par les cybercriminels axés sur la cryptographie pour attirer les victimes dans leur repaire. Ils proposent également « YouTube Music Desktop », « Microsoft Translator Desktop » et d’autres applications douteuses.

Il est facile d’être victime de cette attaque, surtout compte tenu de sa grande visibilité sur la recherche Google. La RCR rappelle aux utilisateurs de seulement télécharger des logiciels auprès d’éditeurs et de fournisseurs connus et autorisés. Si vous soupçonnez que votre PC a été piraté par Nitrokod, vous trouverez une section de remédiation à la fin du rapport CPR qui explique comment nettoyer une machine infectée.


19 novembre 2024 5h30

Bouton retour en haut de la page