این بدافزار موذی در پوشش یک نرم افزار سالم دسکتاپ فعالیت دارد. اپلیکیشن مخرب، هزاران دستگاهرا در ۱۱ کشور آلودهو آنها را مجبور به استخراج ندانستهمونرو (XMR) کرد. در گزارش ۲۹ اوت یک تیم تحقیقاتی اعلام کرد که این بدافزار سالها در زیر رادار پرواز (رصد بدافزاز مخرب) میکرد. به علت طراحی موذیانه آن که نصب را به تأخیر میاندازد، بدافزار استخراج کریپتو، برای هفتهها پس از دانلود نرمافزار اولیه پنهان میماند. این بدافزار با یک توسعهدهنده نرمافزار ترکیهای که ادعا میکند «نرمافزار رایگان و ایمن» ارائه میکند مرتبط است. از طریق نسخههای دسکتاپ تقلبی برنامههای محبوب مانند YouTube Music، Google Translate و Microsoft Translate به رایانههای شخصی حمله میکند.
هنگامی که یک مکانیسم برنامهریزی شده فرآیند نصب بدافزار را آغاز میکند، به طور پیوسته چندین مرحله طی چند روز پیگیری میشود. درنهایت با راهاندازی عملیات استخراج رمزنگاری مخفیانه مونرو (XMR) خاتمه مییابد. این شرکت تحقیقات سایبری اعلام کرد که ماینر ارز دیجیتال مستقر در ترکیه موسوم به “Nitrokod” رایانههای ۱۱ کشور را آلوده کرده است.
طبق گزارش کوینتلگراف، سایتهای دانلود نرمافزار محبوب مانند Softpedia و Uptodown دارای موارد جعلی تحت نام ناشر “Nitrokod INC” بودند. برخی از برنامهها صدها هزار بار دانلود شدند، مانند نسخه دسکتاپ جعلی گوگل ترنسلیت در سافت پدیا، که حتی با وجود نداشتن صفحهرسمی گوگل در این مرجع، نزدیک به هزار نظر در آنجا ثبت شدهدارد. میانگین امتیاز ۹٫۳ از ۱۰ را نیز به خود اختصاص دادهاست.
طبق گفتههای رسمی این شرکت تحقیقاتی، ارائه نسخه دسکتاپ برنامهها، بخش کلیدی کلاهبرداری است. بیشتر برنامههای ارائه شدهتوسط Nitrokod نسخه دسکتاپ ندارند. این باعث میشود که نرمافزار تقلبی برای کاربرانی که فکر میکنند برنامهای را که در جای دیگری در دسترس نیست، جذاب کند. به گفتهمعاون تحقیقاتی این شرکت، بدافزارهای جعلی پاک شدهنیز «با یک جستوجوی ساده در وب» در دسترس هستند.
شناسایی این بدافزار بسیار دشوار است، زیرا برنامههای جعلی میتوانند همان عملکردهایی را که برنامه قانونی ارائه میدهد تقلید کنند. بیشتر برنامههای هکرها بهراحتی از صفحات وب رسمی با استفادهاز چارچوب مبتنی بر کرومیوم ساخته میشوند. همچنین بهآنها اجازهمیدهد تا برنامههای کاربردی بارگذاری شدهبا بدافزار را بدون توسعهاز ابتدا گسترش دهند.
تاکنون بیش از صد هزار نفر در آلمان، بریتانیا، امریکا، اسرائیل، سریلانکا، قبرس، استرالیا، یونان، ترکیه، مغولستان و لهستان همگی طعمه این بدافزار شدهاند. برای جلوگیری از کلاهبرداری توسط این بدافزار و سایر بدافزارها، یک کارشناس امنیت سایبری میگوید چندین نکته امنیتی میتواند به کاهش خطر کمک کند. او ادامه میدهد: «مراقب دامنههای مشابه، اشتباهات املایی در وب سایتهاو فرستندههای ایمیل ناآشنا باشید. نرم افزار را فقط از ناشران یا فروشندگان مجاز/شناختهشدهدانلود کنید و اطمینان حاصل کنید کهضد ویروس شما بهروز است و محافظت جامع را ارائهمیدهد.».