Forskare har upptäckt en stam av kryptovalutagruppsprogram som missbrukar Windows Safe-läge under attacker.
Skadlig kod, kallad Crackonosh av forskare vid Avast, sprider sig genom piratkopierad och sprucken programvara, som ofta finns via torrents, forum och “warez” -webbplatser.
Efter att ha hittat rapporter om Reddit av Avast-antivirusanvändare som frågade om den plötsliga förlusten av antivirusprogramvaran från sina systemfiler, genomförde teamet en undersökning av situationen och insåg att den berodde på en infektion med skadlig kod.
Crackonosh har varit i omlopp sedan minst juni 2018. När ett offer kört en fil som de tror är en sprucken version av legitim programvara, används också skadlig programvara.
Infektionskedjan börjar med att ett installationsprogram och ett skript släpps som ändrar Windows-registret så att den huvudsakliga skadliga programvaran körs i felsäkert läge. Det infekterade systemet är inställt på att starta i felsäkert läge vid nästa start.
“Medan Windows-systemet är i säkert läge fungerar antivirusprogram inte”, säger forskarna. “Detta kan göra det möjligt för den skadliga Serviceinstaller.exe att enkelt inaktivera och ta bort Windows Defender. Det använder också WQL för att fråga alla antivirusprogram som är installerade SELECT * FROM AntiVirusProduct.”
Crackonosh söker efter förekomsten av antivirusprogram – inklusive Avast, Kaspersky, McAfees skanner, Norton och Bitdefender – och försöker inaktivera eller ta bort dem. Loggsystemfiler torkas sedan för att täcka dess spår.
Dessutom kommer Crackonosh att försöka stoppa Windows Update och ersätta Windows Security med en falsk grön kryssfältikon.
Det sista steget på resan är utplaceringen av XMRig, en kryptovalutaminer som utnyttjar systemkraft och resurser för att bryta Monero (XMR) -kryptovalutan.
Sammantaget säger Avast att Crackonosh har genererat minst 2 miljoner dollar för sina operatörer i Monero till dagens priser, med över 9000 XMR-mynt som bryts.
Cirka 1 000 enheter träffas varje dag och över 222 000 maskiner har smittats över hela världen.
Totalt har 30 varianter av skadlig kod identifierats, med den senaste versionen som släpptes i november 2020.
“Så länge som folk fortsätter att ladda ner krackad programvara kommer attacker som dessa att fortsätta och vara lönsamma för angripare,” säger Avast. “Nyckeln till detta är att du verkligen inte kan få något för ingenting och när du försöker stjäla programvara är det troligt att någon försöker stjäla från dig.”
Tidigare och relaterad täckning
Den här konstiga skadliga programvaran hindrar dig från att besöka piratwebbplatser – Cyberbrottslingar installerar kryptojacking-skadlig kod på opatchade Microsoft Exchange-servrar – Cryptojacking har nu lagts till i listan över kryptovalutahot >
Har du ett tips? Kontakta säkert via WhatsApp | Signal vid +447713 025 499, eller över på Keybase: charlie0
Relaterade ämnen:
Säkerhet TV Data Management CXO Data Centers 