Onderzoekers hebben een soort malware voor het minen van cryptocurrency ontdekt die tijdens aanvallen de veilige modus van Windows misbruikt.
De malware, Crackonosh genoemd door onderzoekers van Avast, verspreidt zich via illegale en gekraakte software, vaak te vinden via torrents, forums en “warez”-websites.
Na het vinden van rapporten over Reddit van Avast-antivirusgebruikers die vragen stelden over het plotselinge verlies van de antivirussoftware uit hun systeembestanden, voerde het team een onderzoek naar de situatie uit en realiseerde zich dat het te wijten was aan een malware-infectie.
Crackonosh is ten minste sinds juni 2018 in omloop. Zodra een slachtoffer een bestand uitvoert waarvan zij denken dat het een gekraakte versie van legitieme software is, wordt de malware ook ingezet.
De infectieketen begint met het neerzetten van een installatieprogramma en een script dat het Windows-register aanpast zodat de belangrijkste uitvoerbare malware in de veilige modus kan worden uitgevoerd. Het geïnfecteerde systeem is ingesteld om op te starten in de veilige modus bij de volgende keer opstarten.
“Terwijl het Windows-systeem in de veilige modus staat, werkt antivirussoftware niet”, zeggen de onderzoekers. “Hierdoor kan de kwaadaardige Serviceinstaller.exe eenvoudig Windows Defender uitschakelen en verwijderen. Het gebruikt ook WQL om alle geïnstalleerde antivirussoftware SELECT * FROM AntiVirusProduct op te vragen.”
Crackonosh scant op het bestaan van antivirusprogramma's – waaronder Avast, Kaspersky, McAfee's scanner, Norton en Bitdefender – en zal proberen deze uit te schakelen of te verwijderen. Logsysteembestanden worden vervolgens gewist om de sporen te wissen.
Bovendien zal Crackonosh proberen om Windows Update te stoppen en Windows Security vervangen door een nep groen vinkje in het systeemvak.
De laatste stap van de reis is de inzet van XMRig, een cryptocurrency-miner die systeemkracht en bronnen gebruikt om de Monero (XMR) cryptocurrency te minen.
Al met al zegt Avast dat Crackonosh ten minste $ 2 miljoen heeft gegenereerd voor zijn operators in Monero tegen de huidige prijzen, met meer dan 9000 XMR-munten die zijn gedolven.
Ongeveer 1.000 apparaten worden elke dag getroffen en meer dan 222.000 machines zijn wereldwijd geïnfecteerd.
In totaal zijn 30 varianten van de malware geïdentificeerd, waarvan de nieuwste versie in november 2020 wordt uitgebracht.
“Zolang mensen gekraakte software blijven downloaden, zullen dergelijke aanvallen doorgaan en winstgevend blijven voor aanvallers”, zegt Avast. “Het belangrijkste hiervan is dat je echt niets voor niets kunt krijgen en als je software probeert te stelen, is de kans groot dat iemand van je probeert te stelen.”
Eerdere en gerelateerde berichtgeving
Deze vreemde malware weerhoudt u ervan om piratenwebsites te bezoeken
Cybercriminelen installeren cryptojacking-malware op niet-gepatchte Microsoft Exchange-servers
Cryptojacking is nu toegevoegd aan de lijst met cryptocurrency-bedreigingen
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 