Crackonosh-malware

Een nieuwe malware die een crypto-miner op geïnfecteerde machines laat vallen, is aan het licht gebracht in een recent uitgebracht rapport van een cyberbeveiligingsbedrijf. Met de naam Crackonosh, wordt aangenomen dat de dreiging actief is sinds ten minste 2018. Volgens de bevindingen is de dreigingscampagne erin geslaagd om meer dan 200.000 computers te infecteren. De hackers hebben een XMRig- payload ingezet en de bronnen van de gehackte apparaten gekaapt om de Monero-cryptocurrency (XMR) te minen. Naar schatting zijn de operators van Crackonosh erin geslaagd om ongeveer 9000 XМР te genereren, ter waarde van $ 2 miljoen tegen de huidige wisselkoers van Monero.

Crackonosh's aanvalsketen

De Crackonosh-malware wordt eerst geïnjecteerd in populaire softwareproducten die zijn gekraakt en beschikbaar zijn gesteld op distributieplatforms die bekend staan om het hosten van illegale producten. Door gekraakte videogames te bewapenen, zorgen de exploitanten van de dreiging ervoor dat een aanzienlijk aantal potentiële slachtoffers wordt getrokken. Onder de games die door de hackers zijn gekozen, zijn NBA2K19, Far Cry 5, Grand Theft Auto 5, The Sims 4, Euro Truck Simulator 2 en meer.

Zodra Crackonosh is gestart, zou het essentiële Windows-services vervangen. De dreiging is ook uitgerust met anti-detectieroutines en is in staat om anti-malwareoplossingen van het gehackte systeem te verwijderen. De combinatie van functionaliteiten die beschikbaar zijn voor Crackonosh zorgt ervoor dat de dreiging voor langere tijd ongezien blijft, waardoor de winst van de hackers wordt gemaximaliseerd.

Om van een select aantal anti-malwareproducten af te komen, maakt Crackonosh misbruik van de Windows Veilige modus-omgeving. In de veilige modus kan antivirussoftware niet worden uitgevoerd. De dreiging activeert vervolgens de dreigende Serviceinstaller.exe om Windows Defender uit te schakelen en te verwijderen. Door specifieke registervermeldingen te verwijderen, slaagt Crackonosh er bovendien in om Windows Defender te stoppen en het automatische Windows Update-proces op het systeem uit te schakelen. Om de ontbrekende Defender te maskeren, installeert het een bestand met de naam MSASCuiL.exe. De enige functie van dit uitvoerbare bestand is om een Windows-beveiligingspictogram in het systeemvak te plaatsen.

Cryptojacking is een relatief nieuwe malware-subset die verschijnt naast de razendsnelle populariteitstoename van talloze cryptocurrencies die de afgelopen jaren hebben plaatsgevonden. In plaats van hun eigen mijnbouwinstallaties te kopen en te bouwen, verplaatsten en creëerden cybercriminelen malwarebedreigingen die in staat zijn om de hardwarebronnen van het systeem van het slachtoffer snel over te hevelen en hen dwongen om stil op de achtergrond te minen voor een specifieke cryptocurrency. Gebruikers moeten alert blijven en verdachte activiteiten op hun computers inspecteren.