Campanha ativa desde 2019 distribui utilitários funcionais trojanizados, atrasa a execução por semanas e usa tarefas agendadas para entregar XMRig em máquinas Windows.
| Componente | Aplicativos Windows distribuídos pela Nitrokod, incluindo uma versão desktop não oficial do Google Translate, instaladores Inno Setup, tarefas agendadas, droppers em cadeia e minerador XMRig. |
| Vetor | Instalação voluntária de software gratuito baixado de sites populares de distribuição, com utilitários funcionais usados como cobertura e execução maliciosa atrasada por reinicializações e intervalos de dias. |
| Impacto | Instalação persistente de minerador de criptomoeda, alteração de firewall, exclusão de caminho no Windows Defender, limpeza de evidências locais e comunicação HTTP com infraestrutura de comando e controle. |
| Prioridade | Inventariar hosts Windows com aplicativos Nitrokod, revisar tarefas agendadas e artefatos em ProgramData, bloquear domínios defangados associados e remover os binários persistentes antes de restaurar a telemetria. |
| Artefatos | Foram descritos nomes como GoogleTranslateDesktop.exe, update.exe, chainlink1.07.exe, nniawsoykfo.exe, nniawsoykfo1.8.exe e powermanager.exe. |
| IoCs | Infraestrutura citada inclui nitrokod[.]com, intelserviceupdate[.]com e nvidiacenter[.]com, todos defangados para evitar navegação acidental. |
| Mitigação | Remover aplicativos Nitrokod, eliminar tarefas agendadas relacionadas, reverter exclusões do Windows Defender, revisar regras de firewall e procurar arquivos iniciados por chainlink em System32. |
A campanha Nitrokod combina engenharia social simples com uma cadeia técnica deliberadamente lenta. O operador pública utilitários gratuitos que aparentam resolver uma necessidade legítima do usuário, em especial programas populares que não possuem versão desktop oficial. O caso mais visível é um aplicativo chamado Google Translate Desktop, oferecido como software Windows funcional. Essa funcionalidade inicial reduz suspeitas porque o usuário recebe um programa que parece cumprir a promessa principal, enquanto componentes adicionais são preparados para uma infecção de longa duração.
A atividade foi descrita como ativa desde 2019 e associada a um desenvolvedor de língua turca que declara oferecer software gratuito e seguro. O ponto crítico não é apenas a existência de um instalador trojanizado, mas a separação temporal entre a instalação do utilitário e a execução do minerador. A cadeia usa múltiplos droppers, arquivos RAR criptografados, tarefas agendadas e checagens de ambiente para fazer com que o payload final apareça quase um mês depois da instalação inicial, dificultando a associação entre o download original e o consumo anômalo de CPU causado pelo minerador.
O objetivo final observado é a implantação do XMRig, uma ferramenta legítima frequentemente abusada para mineração não autorizada de criptomoeda. Antes da mineração, a cadeia tenta manter persistência, apagar rastros, criar permissões de firewall e reduzir a visibilidade do Windows Defender sobre um caminho específico. O resultado operacional para a defesa é um incidente de malware em endpoint Windows, não apenas um programa indesejado: há persistência, comunicação com comando e controle, coleta de informações do host e execução de binários em etapas controladas por agenda.
A infecção começa quando o usuário instala um dos programas Nitrokod baixados da web. No exemplo do aplicativo de tradução, o instalador inicial foi construído com Inno Setup e busca um arquivo RAR criptografado a partir de nitrokod[.]com. O servidor só entrega esse arquivo quando a requisição apresenta o identificador de cliente InnoDownloadPlugin/1.5, uma condição que reduz downloads casuais e varreduras automatizadas. O conteúdo extraído contém outro instalador, que coloca o aplicativo funcional em um caminho sob C:\Program Files (x86)\Nitrokod\Google Translate Desktop\ e verifica a presença de update.exe em C:\ProgramData\Nitrokod.
A partir desse ponto, o comportamento malicioso passa a depender de tempo e reinicializações. O dropper update.exe mantém chaves de registro para contar execuções em dias diferentes. Ele não avança imediatamente; a etapa seguinte só é liberada depois que o contador alcança o valor esperado, o que na prática exige pelo menos quatro reinicializações em quatro datas distintas. Essa escolha reduz a chance de observação em sandboxes curtas, que geralmente executam a amostra por minutos ou poucas horas. Também cria distância entre o ato de instalação e o evento malicioso, o que enfraquece investigações baseadas apenas em linha do tempo recente.
Quando a cadeia avança, chainlink1.07.exe cria quatro tarefas agendadas. Em seguida, apaga logs do sistema por meio de recurso do PowerShell; comando operacional omitido. Depois, os estágios anteriores são removidos, separando a origem da instalação dos eventos que ocorrerão mais tarde. Após 15 dias, uma tarefa baixa outro arquivo RAR criptografado de intelserviceupdate[.]com; em dias subsequentes, outras tarefas descompactam e executam o estágio seguinte. O desenho usa o próprio agendador do Windows como orquestrador, o que faz os eventos parecerem atividades locais espaçadas, em vez de uma única execução contínua.
O estágio 5 adiciona novas camadas de evasão. Ele procura processos associados a máquinas virtuais e produtos de segurança, encerrando a execução quando encontra condições consideradas arriscadas para o operador. Depois cria uma regra de firewall para permitir conexões de entrada para um programa que será entregue depois, chamado nniawsoykfo.exe, e adiciona uma exclusão do Windows Defender para um caminho usado pela cadeia. O estágio 6 então entrega três arquivos e configura persistência diária para powermanager.exe, responsável pela etapa final. No dia seguinte, esse componente enumera produtos de segurança instalados, identifica se a máquina é desktop ou notebook e envia dados em JSON por HTTP POST para nvidiacenter[.]com, recebendo parâmetros para controlar o minerador XMRig.
A superfície principal é composta por estáções Windows nas quais usuários conseguem instalar utilitários gratuitos obtidos fora de canais corporativos controlados. Ambientes com permissões locais amplas, ausência de allowlisting, baixa inspeção de tarefas agendadas e pouca retenção de logs ficam mais expostos, porque a campanha se apoia em instalação interativa, persistência nativa e atraso operacional. A presença de um aplicativo funcional também dificulta a resposta, pois o programa visível pode parecer uma ferramenta legítima em inventários superficiais.
O risco aumenta quando a organização permite downloads de portais públicos de software ou quando os usuários buscam versões desktop de serviços que normalmente são oferecidos como aplicações web. A cadeia descrita usa CEF para empacotar páginas web em um executável Windows, o que permite entregar uma experiência plausível sem grande desenvolvimento próprio. Esse detalhe é importante para AppSec e segurança de endpoint: a existência de uma interface funcional não deve ser tratada como prova de legitimidade do instalador, especialmente quando o fornecedor oficial não pública aquela variante de aplicativo.
- Estáções Windows com
C:\ProgramData\Nitrokodou diretórios sobC:\Program Files (x86)\Nitrokod\devem ser tratadas como prioridade de investigação. - Instaladores Inno Setup que baixam arquivos RAR criptografados durante a instalação merecem análise de rede, reputação e cadeia de execução.
- Tarefas agendadas criadas por binários relacionados a
update.exe,chainlink1.07.exeoupowermanager.exeindicam persistência e orquestração por tempo. - Hosts com exclusões recentes no Windows Defender e regras de firewall para binários desconhecidos devem ser correlacionados com downloads de software gratuito.
A investigação deve reconstruir a linha do tempo em janela ampla, porque a execução final pode ocorrer semanas depois da instalação inicial. Em vez de procurar apenas o momento de alto consumo de CPU, a defesa deve voltar ao primeiro evento de instalação, à criação de diretórios Nitrokod, ao surgimento de update.exe em ProgramData e às alterações de tarefas agendadas. O uso de intervalos de dias torna frágil qualquer busca limitada às últimas 24 horas, principalmente quando logs foram apagados em um estágio intermediário.
Em endpoint, os sinais mais úteis são criação de processos incomuns por tarefas agendadas, execução de binários com nomes artificiais, exclusões do Defender, novas regras de firewall e sequência de extração de arquivos RAR criptografados. Em rede, a prioridade é identificar requisições HTTP para domínios defangados associados, especialmente quando ocorrem a partir de máquinas de usuário e não de servidores de atualização legítimos. A comunicação final usa JSON por HTTP POST para obter configuração do minerador, portanto proxy, EDR e logs de DNS devem ser correlacionados com telemetria de processo.
Também é necessário buscar efeitos indiretos. XMRig costuma produzir uso elevado e persistente de CPU, conexões periódicas e execução prolongada em segundo plano. Ainda assim, a investigação não deve começar pelo minerador apenas: a cadeia de entrega é o que permite erradicar o incidente. Se a equipe remover somente o processo de mineração e deixar tarefas agendadas, exclusões ou droppers remanescentes, a atividade pode reaparecer conforme a agenda configurada.
- Criação ou alteração de tarefas agendadas em dias diferentes, associadas a binários em ProgramData, System32 ou diretórios Nitrokod.
- Eventos de limpeza de logs do Windows próximos à execução de
chainlink1.07.exeou a outros binários sem assinatura confiável. - Exclusões do Windows Defender adicionadas para caminhos usados pela cadeia antes da entrega do payload final.
- Requisições HTTP para
nitrokod[.]com,intelserviceupdate[.]comounvidiacenter[.]com, com atenção a downloads de RAR e POSTs JSON. - Arquivos em System32 com nome iniciado por
chainlink, quando esse padrão não fizer parte de uma ferramenta corporativa conhecida.
A contenção deve começar pelo isolamento dos hosts com artefatos confirmados, porque há comunicação com infraestrutura externa e execução persistente. Em seguida, a equipe deve coletar evidências voláteis e de disco antes de remover componentes, quando a política de resposta permitir. Como a cadeia tenta apagar logs, fontes externas como EDR, proxy, DNS, gateway web e registros centralizados de identidade podem ser mais confiáveis do que o log local do host afetado. A prioridade é interromper tarefas agendadas, bloquear a comunicação com os domínios associados e impedir que o minerador volte a ser iniciado.
A erradicação exige remover os aplicativos Nitrokod e seus componentes auxiliares, não apenas o binário de mineração. Diretórios sob ProgramData e Program Files relacionados à Nitrokod devem ser revisados, assim como tarefas agendadas criadas durante a janela de infecção. Regras de firewall introduzidas pela cadeia precisam ser removidas e exclusões do Windows Defender devem ser revertidas. Depois da limpeza, a equipe deve validar se o endpoint voltou a registrar eventos normalmente, se não há novas conexões para os domínios citados e se o consumo de CPU retornou ao padrão esperado.
A prevenção depende de controle de software e governança de instalação. Bloqueio de aplicativos não autorizados, reputação de instaladores, allowlisting, inspeção de downloads que buscam arquivos compactados criptografados e revisão de permissões locais reduzem a exposição. Para usuários, a orientação operacional deve ser objetiva: serviços sem versão desktop oficial não devem ser instalados a partir de portais de terceiros em máquinas corporativas. Para SOC e engenharia de segurança, a lição técnica é que campanhas de mineração podem ser discretas no início e ruidosas apenas no final; por isso, detecções comportamentais por sequência, tempo e persistência são mais eficazes do que alertas isolados de uso de CPU.
- Isolar máquinas com artefatos Nitrokod e preservar telemetria de EDR, DNS, proxy e tarefas agendadas antes da remoção completa.
- Bloquear os domínios defangados associados em controles de DNS, proxy, endpoint e gateway, mantendo os indicadores como referência interna de caça.
- Remover aplicativos Nitrokod, diretórios relacionados, tarefas agendadas, regras de firewall indevidas e exclusões do Windows Defender criadas pela cadeia.
- Verificar arquivos iniciados por
chainlinkem System32 e tratar qualquer achado como parte potencial da cadeia de dropper. - Reforçar controle de instalação de software, allowlisting e alertas para instaladores que baixam arquivos RAR criptografados de domínios externos.
0 Comentários