Forskere har oppdaget en belastning med kryptovaluta-gruvedrift som misbruker Windows Safe-modus under angrep.
Malware, kalt Crackonosh av forskere ved Avast, sprer seg gjennom piratkopiert og sprukket programvare, ofte funnet gjennom torrenter, fora og “warez” -nettsteder.
Etter å ha funnet rapporter om Reddit av Avast-antivirusbrukere som spurte om det plutselige tapet av antivirusprogramvaren fra systemfilene, gjennomførte teamet en undersøkelse av situasjonen og innså at det skyldtes en malwareinfeksjon.
Crackonosh har vært i omløp siden minst juni 2018. Når et offer kjører en fil de mener er en sprukket versjon av legitim programvare, blir også skadelig programvare distribuert.
Infeksjonskjeden begynner med frafallet av et installasjonsprogram og et skript som endrer Windows-registeret slik at den viktigste skadelige programvaren kjøres i sikkermodus. Det infiserte systemet er satt til å starte i sikkermodus ved neste oppstart.
“Mens Windows-systemet er i sikker modus, fungerer ikke antivirusprogramvare,” sier forskerne. “Dette kan gjøre at den ondsinnede Serviceinstaller.exe enkelt kan deaktivere og slette Windows Defender. Det bruker også WQL til å spørre om alt antivirusprogramvare som er installert SELECT * FRA AntiVirusProduct.”
Crackonosh vil skanne etter eksistensen av antivirusprogrammer – inkludert Avast, Kaspersky, McAfees skanner, Norton og Bitdefender – og vil prøve å deaktivere eller slette dem. Loggfilene tørkes deretter for å dekke sporene.
I tillegg vil Crackonosh forsøke å stoppe Windows Update og erstatte Windows Security med et falskt grønt kryssfeltikon.
Det siste trinnet på reisen er implementeringen av XMRig, en gruvearbeider som utnytter systemkraft og ressurser til å utvinne Monero (XMR) -kryptovalutaen.
Samlet sett sier Avast at Crackonosh har generert minst 2 millioner dollar for operatørene i Monero til dagens priser, med over 9000 XMR-mynter som er utvunnet.
Omtrent 1000 enheter blir truffet hver dag, og over 222 000 maskiner har blitt smittet over hele verden.
Totalt er 30 varianter av skadelig programvare identifisert, med den siste versjonen som ble utgitt i november 2020.
“Så lenge folk fortsetter å laste ned sprukket programvare, vil angrep som disse fortsette og fortsette å være lønnsomme for angripere,” sier Avast. “Hovedtaket fra dette er at du virkelig ikke kan få noe for ingenting, og når du prøver å stjele programvare, er det sannsynlig at noen prøver å stjele fra deg.”
Tidligere og relatert dekning
Denne merkelige skadelige programvaren hindrer deg i å besøke piratnettsteder – Nettkriminelle installerer kryptojacking-skadelig programvare på ikke-oppdaterte Microsoft Exchange-servere – Cryptojacking er nå lagt til i listen over kryptokurrencytrusler
Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Beslektede emner:
Security TV Data Management CXO Data Centers 