Crackonosh-malware

En ny malware, der smider en kryptominer på inficerede maskiner, er blevet fremhævet i en nyligt frigivet rapport fra et cybersikkerhedsfirma. Navngivet Crackonosh menes truslen at have været aktiv siden mindst 2018. Ifølge resultaterne har den truende kampagne formået at inficere over 200.000 computere. Hackerne indsatte en XMRig- nyttelast og kaprede ressourcerne på de overtrådte enheder til minedrift af Monero (XMR) -kryptovalutaen. Det anslås, at operatørerne af Crackonosh har formået at generere omkring 9000 XМР, til en værdi af $ 2 millioner til den nuværende Monero-valutakurs.

Crackonoshs angrebskæde

Crackonosh-malware injiceres først i populære softwareprodukter, der er blevet krakket og gjort tilgængelige på distributionsplatforme, der er kendt for at være vært for piratkopierede produkter. Ved at bevæbne krakket videospil sikrer operatørerne af truslen, at et betydeligt antal potentielle ofre vil blive trukket. Blandt de spil, der er valgt af hackerne, er NBA2K19, Far Cry 5, Grand Theft Auto 5, The Sims 4, Euro Truck Simulator 2 og mere.

Når Crackonosh er startet, erstatter det vigtige Windows-tjenester. Truslen er også udstyret med antidetektionsrutiner og er i stand til at slette anti-malware-løsninger fra det brudte system. Kombinationen af funktionaliteter, der er tilgængelige for Crackonosh, gør det muligt for truslen at forblive uset i længere perioder og maksimere hackernes fortjeneste.

For at slippe af med et udvalg af anti-malware-produkter misbruger Crackonosh Windows Safe Mode-miljøet. I sikker tilstand kan antivirussoftware ikke køre. Truslen aktiverer derefter den truende Serviceinstaller.exe for at deaktivere og slette Windows Defender. Derudover administrerer Crackonosh ved at slette specifikke poster i registreringsdatabasen at stoppe Windows Defender og deaktivere den automatiske Windows Update-proces på systemet. For at maskere den manglende Defender installerer den en fil med navnet MSASCuiL.exe. Den eneste funktion af denne eksekverbare er at placere et Windows-sikkerhedsikon på systembakken.

Cryptojacking er en relativt ny malware-delmængde, der vises sammen med den meteoriske stigning i popularitet for adskillige kryptovalutaer, der fandt sted de sidste mange år. I stedet for at købe og bygge deres egne minerigge flyttede cyberkriminelle og skabte malware-trusler, der hurtigt kunne aflytte hardwarressourcerne i offerets system og tvang dem til at mine til en bestemt kryptokurrency i baggrunden stille. Brugere skal være opmærksomme og inspicere mistænkelig aktivitet på deres computere.