Forscher haben einen Stamm von Kryptowährungs-Mining-Malware entdeckt, die bei Angriffen den abgesicherten Modus von Windows missbraucht.
Die Malware, von den Forschern bei Avast als Crackonosh bezeichnet, verbreitet sich über Raubkopien und gecrackte Software, die häufig über Torrents, Foren und “Warez”-Websites gefunden wird.
Nachdem das Team Berichte über Reddit von Avast Antivirus-Benutzern gefunden hatte, die den plötzlichen Verlust der Antivirus-Software aus ihren Systemdateien abfragten, führte das Team eine Untersuchung der Situation durch und stellte fest, dass es sich um eine Malware-Infektion handelte.
Crackonosh ist seit mindestens Juni 2018 im Umlauf. Sobald ein Opfer eine Datei ausführt, von der es annimmt, dass es sich um eine gecrackte Version einer legitimen Software handelt, wird auch die Malware eingesetzt.
Die Infektionskette beginnt mit dem Ablegen eines Installationsprogramms und eines Skripts, das die Windows-Registrierung so ändert, dass die wichtigste ausführbare Malware-Datei im abgesicherten Modus ausgeführt werden kann. Das infizierte System ist so eingestellt, dass es beim nächsten Start im abgesicherten Modus startet.
“Während sich das Windows-System im abgesicherten Modus befindet, funktioniert die Antivirensoftware nicht”, sagen die Forscher. “Dies kann es der bösartigen Serviceinstaller.exe ermöglichen, Windows Defender einfach zu deaktivieren und zu löschen. Es verwendet auch WQL, um alle installierten Antivirensoftware abzufragen. SELECT * FROM AntiVirusProduct.”
Crackonosh sucht nach Antivirenprogrammen – einschließlich Avast, Kaspersky, McAfees Scanner, Norton und Bitdefender – und versucht, diese zu deaktivieren oder zu löschen. Log-Systemdateien werden dann gelöscht, um ihre Spuren zu verwischen.
Darüber hinaus versucht Crackonosh, Windows Update zu stoppen und ersetzt Windows-Sicherheit durch ein falsches grünes Häkchen in der Taskleiste.
Der letzte Schritt der Reise ist die Bereitstellung von XMRig, einem Kryptowährungs-Miner, der die Systemleistung und -ressourcen nutzt, um die Kryptowährung Monero (XMR) zu minen.
Insgesamt sagt Avast, dass Crackonosh für seine Betreiber in Monero zu den heutigen Preisen mindestens 2 Millionen US-Dollar erwirtschaftet hat, wobei über 9000 XMR-Münzen abgebaut wurden.
Ungefähr 1.000 Geräte werden täglich getroffen und über 222.000 Computer wurden weltweit infiziert.
Insgesamt wurden 30 Varianten der Malware identifiziert, wobei die neueste Version im November 2020 veröffentlicht wurde.
„Solange Menschen weiterhin gecrackte Software herunterladen, werden Angriffe wie diese weitergehen und für Angreifer weiterhin profitabel sein“, sagt Avast. “Die wichtigste Erkenntnis daraus ist, dass Sie wirklich nichts umsonst bekommen können und wenn Sie versuchen, Software zu stehlen, ist die Wahrscheinlichkeit groß, dass jemand versucht, Sie zu stehlen.”
Frühere und verwandte Berichterstattung
Diese seltsame Malware hindert Sie daran, Piraten-Websites zu besuchen
Cyberkriminelle installieren Cryptojacking-Malware auf ungepatchten Microsoft Exchange-Servern
Cryptojacking wurde jetzt zur Liste der Bedrohungen durch Kryptowährungen hinzugefügt
Haben Sie einen Tipp? Kontaktieren Sie uns sicher über WhatsApp | Signal unter +447713 025 499 oder drüben bei Keybase: charlie0
Verwandte Themen:
Sicherheit TV-Datenverwaltung CXO-Rechenzentren 