Forskere har opdaget en stamme af kryptokurrency-minedrift, der misbruger Windows Safe-tilstand under angreb.
Malware, der kaldes Crackonosh af forskere ved Avast, spreder sig gennem piratkopieret og krakket software, der ofte findes gennem torrents, fora og “warez” -websites.
Efter at have fundet rapporter om Reddit fra Avast-antivirusbrugere, der spurgte det pludselige tab af antivirussoftwaren fra deres systemfiler, gennemførte holdet en undersøgelse af situationen og indså, at det skyldtes en malwareinfektion.
Crackonosh har været i omløb siden mindst juni 2018. Når et offer udfører en fil, som de mener er en revnet version af legitim software, implementeres malware også.
Infektionskæden begynder med drop af et installationsprogram og et script, der ændrer Windows-registreringsdatabasen for at lade den vigtigste eksekverbare malware køre i fejlsikret tilstand. Det inficerede system er indstillet til at starte i fejlsikret tilstand ved næste opstart.
“Mens Windows-systemet er i sikker tilstand, fungerer antivirussoftware ikke,” siger forskerne. Dette kan gøre det ondsindet Serviceinstaller.exe i stand til let at deaktivere og slette Windows Defender. Det bruger også WQL til at forespørge om alt antivirussoftware, der er installeret SELECT * FROM AntiVirusProduct. ”
Crackonosh vil scanne for eksistensen af antivirusprogrammer – inklusive Avast, Kaspersky, McAfees scanner, Norton og Bitdefender – og vil forsøge at deaktivere eller slette dem. Log-systemfiler slettes derefter for at dække dens spor.
Derudover vil Crackonosh forsøge at stoppe Windows Update og erstatte Windows Security med et falsk grønt krydsfeltikon.
Det sidste trin på rejsen er implementeringen af XMRig, en cryptocurrency minearbejder, der udnytter systemkraft og ressourcer til at udvinde Monero (XMR) cryptocurrency.
Samlet set siger Avast, at Crackonosh har genereret mindst 2 millioner dollars til sine operatører i Monero til dagens priser, med over 9000 XMR-mønter, der er blevet udvundet.
Ca. 1.000 enheder rammes hver dag, og over 222.000 maskiner er blevet inficeret over hele verden.
I alt er der identificeret 30 varianter af malware, hvor den seneste version blev frigivet i november 2020.
“Så længe folk fortsætter med at downloade krakket software, vil angreb som disse fortsætte og fortsat være rentable for angribere,” siger Avast. “Den vigtigste take-away fra dette er, at du virkelig ikke kan få noget for ingenting, og når du prøver at stjæle software, er det sandsynligt, at nogen prøver at stjæle fra dig.”
Tidligere og relateret dækning
Denne mærkelige malware forhindrer dig i at besøge piratwebsites – Cyberkriminelle installerer cryptojacking-malware på upatchede Microsoft Exchange-servere – Cryptojacking er nu tilføjet til listen over kryptokurrencytrusler
Har du et tip? Kontakt sikkert via WhatsApp | Signal ved +447713 025 499, eller derover ved Keybase: charlie0
Relaterede emner:
Sikkerhed TV-datastyring CXO-datacentre 