بر اساس گزارشی که توسط Check Point Software Technologies، ارائهدهنده امنیت سایبری آمریکایی-اسرائیلی منتشر شده است، یک بدافزار فعال استخراج ارزهای دیجیتال بیش از ۱۱۱،۰۰۰ کاربر را در آلمان، اسرائیل، لهستان، ایالات متحده و سایر کشورها آلوده کرده است.
خرابکاران در وبسایتهایی مانند Softpedia که نرمافزارهای رایگان را ارئه میدهد، برای قربانیان تله میگذارند. آنها مردم را فریب میدهند تا نسخه دسکتاپ سرویسهایی مانند YouTube Music و Microsoft Translator را دانلود کنند. این سرویسها در واقع هیچ نسخه دسکتاپ رسمی ندارند.
این بدافزار که سالها تحت ردیابی بوده، ظاهراً با یک توسعهدهنده ترکیهای به نام Nitrokod مرتبط است که ادعا میکند نرمافزارهای رایگان را ارائه میدهد.
به دلیل فرآیند پیچیده نفوذ چند مرحلهای، او موفق شد برای مدت طولانی شناسایی نشده باقی بماند.
پس از اجرای نرمافزار، این بدافزار با اتصال به سرور فرمان و کنترل خود و دریافت ابزار استخراج CPU XMRig، عملیات استخراج مونرو (XMR) را آغاز میکند. به منظور اطمینان از فعال ماندن بدافزار، یک فعالیت برنامهریزی شده برای اجرای روزانه آن تنظیم شده است.
مونرو به دلیل ویژگیهایی مانند ناشناس بودن، رمزارز مورد علاقه کلاهبرداران باقی مانده است. یک مطالعه در سال ۲۰۱۹ نشان داد که استخراج غیرقانونی کریپتو مسئول ۴ درصد از کل عرضه در گردش XMR بوده است.
