Złośliwe oprogramowanie Crackonosh

W niedawno opublikowanym raporcie firmy zajmującej się cyberbezpieczeństwem ujawniono nowe złośliwe oprogramowanie, które upuszcza krypto-kopacza na zainfekowane maszyny. Uważa się, że zagrożenie, nazwane Crackonosh, było aktywne od co najmniej 2018 roku. Zgodnie z ustaleniami, groźna kampania zdołała zainfekować ponad 200 000 komputerów. Hakerzy wdrożyli ładunek XMRig i przejęli zasoby złamanych urządzeń w celu wydobycia kryptowaluty Monero (XMR). Szacuje się, że operatorom Crackonosha udało się wygenerować około 9000 XМР o wartości 2 mln USD przy obecnym kursie Monero.

Łańcuch Ataku Crackonosha

Szkodliwe oprogramowanie Crackonosh jest najpierw wstrzykiwane do popularnego oprogramowania, które zostało złamane i udostępnione na platformach dystrybucyjnych znanych z hostowania pirackich produktów. Poprzez uzbrajanie zhakowanych gier wideo operatorzy zagrożenia zapewniają, że zostanie przyciągnięta znaczna liczba potencjalnych ofiar. Wśród gier wybranych przez hakerów są NBA2K19, Far Cry 5, Grand Theft Auto 5, The Sims 4, Euro Truck Simulator 2 i inne.

Po zainicjowaniu Crackonosh zastąpiłby podstawowe usługi systemu Windows. Zagrożenie jest również wyposażone w procedury zapobiegające wykrywaniu i może usuwać rozwiązania antywirusowe z naruszonego systemu. Połączenie funkcjonalności dostępnych dla Crackonosh pozwala na pozostawanie niewidocznym przez dłuższy czas, maksymalizując zyski hakerów.

Aby pozbyć się wybranej liczby produktów chroniących przed złośliwym oprogramowaniem, Crackonosh nadużywa środowiska trybu awaryjnego systemu Windows. W trybie awaryjnym oprogramowanie antywirusowe nie może działać. Zagrożenie następnie aktywuje zagrażający Serviceinstaller.exe, aby wyłączyć i usunąć program Windows Defender. Ponadto, usuwając określone wpisy rejestru, Crackonosh może zatrzymać program Windows Defender i wyłączyć automatyczny proces Windows Update w systemie. Aby zamaskować brakującego Defendera, instaluje plik o nazwie MSASCuiL.exe. Jedyną funkcją tego pliku wykonywalnego jest umieszczenie ikony Zabezpieczenia Windows na pasku zadań.

Cryptojacking to stosunkowo nowy podzbiór złośliwego oprogramowania, który pojawia się wraz z błyskawicznym wzrostem popularności wielu kryptowalut, który miał miejsce w ciągu ostatnich kilku lat. Zamiast kupować i budować własne platformy wydobywcze, cyberprzestępcy przenieśli się i stworzyli złośliwe oprogramowanie zdolne do szybkiego wysysania zasobów sprzętowych systemu ofiary i zmuszania ich do cichego wydobywania określonej kryptowaluty w tle. Użytkownicy powinni zachować czujność i sprawdzać wszelkie podejrzane działania na swoich komputerach.