Malware Crackonosh

Descrição do Malware Crackonosh

Um novo malware lançando um cripto-minerador nas máquinas infectadas foi trazido à luz em um relatório divulgado recentemente por uma empresa de segurança cibernética. Chamada de Crackonosh, acredita-se que a ameaça esteja ativa desde pelo menos 2018. De acordo com as descobertas, a campanha ameaçadora conseguiu infectar mais de 200.000 computadores. Os hackers implantaram uma carga útil XMRig e sequestraram os recursos dos dispositivos violados para extrair a criptomoeda Monero (XMR). Estima-se que os operadores da Crackonosh conseguiram gerar cerca de 9000 XМР, no valor de $2 milhões à taxa de câmbio atual do Monero aproximadamente.

A Corrente de Ataques do Crackonosh

O malware Crackonosh é injetado pela primeira vez em produtos de software populares que foram quebrados e disponibilizados em plataformas de distribuição conhecidas por hospedar produtos piratas. Ao transformar videogames quebrados em armas, os operadores da ameaça garantem que um número significativo de vítimas em potencial seja atraído. Entre os jogos escolhidos pelos hackers estão NBA2K19, Far Cry 5, Grand Theft Auto 5, The Sims 4, Euro Truck Simulator 2 e mais.

Assim que o Crackonosh for iniciado, ele substituirá os serviços essenciais do Windows. A ameaça também está equipada com rotinas anti-detecção e é capaz de excluir soluções anti-malware do sistema violado. A combinação de funcionalidades disponíveis para o Crackonosh permite que a ameaça permaneça invisível por períodos prolongados, maximizando os lucros dos hackers.

Para se livrar de um número seleto de produtos anti-malware, o Crackonosh abusa do ambiente do modo de segurança do Windows. No modo de segurança, o software anti-vírus não pode ser executado. A ameaça então ativa o ameaçador Serviceinstaller.exe para desativar e excluir o Windows Defender. Além disso, ao excluir entradas específicas do registro, o Crackonosh consegue interromper o Windows Defender e desabilitar o processo automático do Windows Update no sistema. Para mascarar o Defender ausente, ele instala um arquivo denominado MSASCuiL.exe. A única função deste executável é colocar um ícone de Segurança do Windows na bandeja do sistema.

Cryptojacking é um subconjunto de malware relativamente novo que aparece junto com o aumento meteórico da popularidade de várias cripto moedas ocorridas nos últimos anos. Em vez de comprar e construir suas próprias plataformas de mineração, os cibercriminosos moveram e criaram ameaças de malware capazes de desviar os recursos de hardware do sistema da vítima rapidamente e forçá-los a minerar por uma cripto moeda específica em segundo plano silenciosamente. Os usuários devem ficar alertas e inspecionar qualquer atividade suspeita em seus computadores.