Nitrokod: il malware che si attiva dopo un mese

I ricercatori di sicurezza informatica di Check Point Software hanno individuato un nuovo malware, identificato con il nome di Nitrokod, che con ogni probabilità ha già colpito milioni di computer all’insaputa degli utenti, in quanto l'attivazione avviene in maniera ritardata proprio per sfuggire all’azione degli antivirus.

Nitrokod: il cryptominer che si attiva in ritardo

Andando più in dettaglio, si tratta di un cryptominer che è stato nascosto in applicazioni in apparenza legittime, pubblicate pure su Softpedia e che vengono mostrate nei primi risultati delle ricerche su Google. Il nome del malware è lo stesso dello sviluppatore turco che offre i software incriminati.

L’installer scarica un file RAR cifrato dal sito dello sviluppatore, dopodiché viene estratto un eseguibile che verifica la presenza di aggiornamenti con il dropper update.exe e imposta l’avvio automatico. L'esecuzione del dropper avviene dopo cinque giorni. Dopo quattro riavvi del computer viene poi scaricato un altro dropper che dopo quindici giorni scarica un ulteriore archivio RAR cifrato. Il file viene decompresso dopo due giorni ed eseguito il giorno seguente.

I passaggi successivi prevedono la verifica della presenza di antivirus sul computer e l'aggiunta di una regola al firewall per aggirare il blocco delle connessioni in entrata. In conclusione, un ulteriore dropper scarica un altro archivio RAR cifrato contenente il cryptominer XMRig.

Dopo aver inviato le informazioni sul computer al server command and control, il malware riceve le istruzioni di configurazione del cryptominer. Tutte le attività vengono eseguite in un arco di tempo complessivo pari a un mese.

Pur esistendo minacce informatiche apparentemente in grado di sfuggire ai software per la sicurezza, è sempre bene equipaggiare il proprio computer con un antivirus, come nel caso di Avast Premium Security.