Check Point Research (CPR), die Threat Intelligence-Abteilung von Check Point Software Technologies, einem weltweit führenden Anbieter von Cyber-Sicherheitslösungen, hat eine aktive Kryptowährungs-Mining-Kampagne entdeckt, die „Google Translate Desktop“ und andere kostenlose Software imitiert, um PCs zu infizieren. Die Kampagne wurde von einem türkischsprachigen Unternehmen namens Nitrokod erstellt und zählt seit 2019 über 111 000 Downloads in elf Ländern. Die Angreifer verzögern den Infektionsprozess wochenlang, um nicht entdeckt zu werden. CPR warnt, dass die Angreifer die Malware leicht verändern können, indem sie diese zum Beispiel von einem Krypto-Miner in Ransomware oder Banking-Trojaner umwandeln.
Die Kampagne arbeitet mit kostenloser Software, die auf beliebten Websites wie Softpedia und uptodown verfügbar ist, um die Opfer mit Malware zu infizieren. Dabei handelt es sich um Imitationen beliebter Anwendungen, von denen es keine echten Desktop-Versionen gibt, wie zum Beispiel Google Translate. Außerdem kann die Schadsoftware auch leicht über Google gefunden werden, wenn Nutzer nach „google translate desktop download“ suchen. Nach der Erstinstallation der Software verzögern die Angreifer den Infektionsprozess um Wochen und löschen die Spuren der ursprünglichen Installation. Die bisherigen Opfer stammen aus Großbritannien, den USA, Sri Lanka, Griechenland, Israel, Deutschland, der Türkei, Zypern, Australien, der Mongolei und Polen.