Crackonosh Malware

Un nuovo malware che rilascia un cryptominer su macchine infette è stato portato alla luce in un rapporto pubblicato di recente da una società di sicurezza informatica. Chiamata Crackonosh, si ritiene che la minaccia sia attiva almeno dal 2018. Secondo i risultati, la campagna minacciosa è riuscita a infettare oltre 200.000 computer. Gli hacker hanno distribuito un payload XMRig e dirottato le risorse dei dispositivi violati per estrarre la criptovaluta Monero (XMR). Si stima che gli operatori di Crackonosh siano riusciti a generare circa 9000 XМР, per un valore di 2 milioni di dollari al cambio attuale di Monero circa.

La catena d'attacco di Crackonosh

Il malware Crackonosh viene prima iniettato in prodotti software popolari che sono stati craccati e resi disponibili su piattaforme di distribuzione note per ospitare prodotti piratati. Armando i videogiochi crackati, gli operatori della minaccia assicurano che un numero significativo di potenziali vittime sarebbe tratto. Tra i giochi scelti dagli hacker ci sono NBA2K19, Far Cry 5, Grand Theft Auto 5, The Sims 4, Euro Truck Simulator 2 e altri.

Una volta avviato Crackonosh, sostituirà i servizi essenziali di Windows. La minaccia è inoltre dotata di routine anti-rilevamento ed è in grado di eliminare soluzioni anti-malware dal sistema violato. La combinazione di funzionalità a disposizione di Crackonosh consente alla minaccia di rimanere invisibile per periodi prolungati massimizzando i profitti degli hacker.

Per sbarazzarsi di un numero selezionato di prodotti anti-malware, Crackonosh abusa dell'ambiente in modalità provvisoria di Windows. In modalità provvisoria, il software antivirus non può essere eseguito. La minaccia attiva quindi il minaccioso Serviceinstaller.exe per disabilitare ed eliminare Windows Defender. Inoltre, eliminando specifiche voci di registro, Crackonosh riesce a fermare Windows Defender e a disabilitare il processo di aggiornamento automatico di Windows sul sistema. Per mascherare il Defender mancante, installa un file denominato MSASCuiL.exe. L'unica funzione di questo eseguibile è mettere un'icona di sicurezza di Windows sulla barra delle applicazioni.

Il criptojacking è un sottoinsieme di malware relativamente nuovo che appare insieme alla rapida ascesa di popolarità di numerose criptovalute avvenuta negli ultimi anni. Invece di acquistare e costruire le proprie piattaforme di mining, i criminali informatici si sono spostati e hanno creato minacce malware in grado di sottrarre rapidamente le risorse hardware del sistema della vittima e li hanno costretti a estrarre silenziosamente una specifica criptovaluta in background. Gli utenti dovrebbero stare all'erta e ispezionare qualsiasi attività sospetta sui propri computer.