Malware Nitrokod

La amenaza Nitrokod es una puerta trasera amenazante que se utiliza como herramienta para el despliegue de cargas útiles de la próxima etapa en sistemas infectados. Más específicamente, los actores de la amenaza colocaron una versión de la herramienta de criptominería XMRig en los dispositivos violados. Nitrokod está desarrollado por una entidad de habla turca y se distribuye principalmente a través de aplicaciones armadas que ofrecen funcionalidad de escritorio para programas y herramientas que no tienen una versión de escritorio oficial. Por ejemplo, la aplicación Nitrokod más descargada es la aplicación de escritorio Google Translate. Los detalles sobre la amenaza y su cadena de infección se dieron a conocer al público en un informe de los investigadores.

Nitrokod es una amenaza de malware avanzada equipada con técnicas de detección-evasión y antianálisis. Puede escanear y verificar si hay signos de entornos virtuales y si los sistemas violados tienen ciertas soluciones antimalware y de seguridad instaladas. Tras una coincidencia positiva, Nitrokod detendrá su ejecución y eliminará cualquier rastro de su presencia. Además, el malware es capaz de eludir Microrosft Defender sin ser detectado.

Una vez activado por completo, Nitrokod recopilará datos generales del dispositivo y del sistema, así como detalles específicos necesarios para el proceso de criptominería posterior, como el modelo de la CPU del dispositivo. Lo que hace que una infección de Nitrokod sea tan difícil de detener desde el principio es la brecha significativa entre el despliegue de la puerta trasera y la carga útil de criptominería. En algunos casos, la herramienta XMRig se entregó semanas después de que el malware Nitrokod ya hubiera establecido su presencia dentro del dispositivo de la víctima.

XMRig es una herramienta popular en las campañas de ataque de criptominería. Está diseñado para secuestrar los recursos de hardware del sistema y extraer específicamente la criptomoneda Monero (XMR).