I ricercatori hanno scoperto un ceppo di malware per il mining di criptovalute che abusa della modalità provvisoria di Windows durante gli attacchi.
Il malware, soprannominato Crackonosh dai ricercatori di Avast, si diffonde attraverso software piratato e crackato, spesso trovato tramite torrent, forum e siti Web “warez”.
Dopo aver trovato rapporti su Reddit degli utenti di antivirus Avast che hanno interrogato l'improvvisa perdita del software antivirus dai loro file di sistema, il team ha condotto un'indagine sulla situazione, rendendosi conto che era dovuta a un'infezione da malware.
Crackonosh è in circolazione almeno da giugno 2018. Una volta che una vittima esegue un file che ritiene essere una versione craccata di software legittimo, viene distribuito anche il malware.
La catena di infezione inizia con il rilascio di un programma di installazione e di uno script che modifica il registro di Windows per consentire l'esecuzione in modalità provvisoria dell'eseguibile principale del malware. Il sistema infetto è impostato per avviarsi in modalità provvisoria al successivo avvio.
“Mentre il sistema Windows è in modalità provvisoria, il software antivirus non funziona”, affermano i ricercatori. “Questo può consentire al dannoso Serviceinstaller.exe di disabilitare ed eliminare facilmente Windows Defender. Utilizza anche WQL per interrogare tutto il software antivirus installato SELECT * FROM AntiVirusProduct.”
Crackonosh cercherà l'esistenza di programmi antivirus, inclusi Avast, Kaspersky, lo scanner McAfee, Norton e Bitdefender, e tenterà di disabilitarli o eliminarli. I file di registro del sistema vengono quindi cancellati per coprire le sue tracce.
Inoltre, Crackonosh tenterà di arrestare Windows Update e sostituirà Windows Security con una falsa icona verde sulla barra di spunta.
Il passo finale del viaggio è l'implementazione di XMRig, un miner di criptovaluta che sfrutta la potenza e le risorse del sistema per estrarre la criptovaluta Monero (XMR).
Nel complesso, Avast afferma che Crackonosh ha generato almeno $ 2 milioni per i suoi operatori a Monero ai prezzi di oggi, con oltre 9000 monete XMR estratte.
Ogni giorno vengono colpiti circa 1.000 dispositivi e oltre 222.000 macchine sono state infettate in tutto il mondo.
In totale, sono state identificate 30 varianti del malware, con l'ultima versione rilasciata a novembre 2020.
“Finché le persone continueranno a scaricare software craccato, attacchi come questi continueranno e continueranno a essere redditizi per gli aggressori”, afferma Avast. “Il punto chiave da questo è che non puoi davvero ottenere qualcosa per niente e quando cerchi di rubare software, è probabile che qualcuno stia cercando di rubare da te.”
Copertura precedente e correlata
Questo strano malware ti impedisce di visitare siti Web pirata
I criminali informatici stanno installando malware cryptojacking su server Microsoft Exchange senza patch
Cryptojacking ora aggiunto all'elenco delle minacce di criptovaluta >
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al +447713 025 499 o tramite Keybase: charlie0
Argomenti correlati:
Security TV Data Management CXO Data Center 