Вредоносное ПО Crackonosh

Новое вредоносное ПО, сбрасывающее криптомайнер на зараженные машины, было обнаружено в недавно опубликованном отчете компании, занимающейся кибербезопасностью. Считается, что угроза под названием Crackonosh действует по крайней мере с 2018 года. Согласно полученным данным, в рамках кампании угроз удалось заразить более 200 000 компьютеров. Хакеры развернули полезную нагрузку XMRig и захватили ресурсы взломанных устройств для добычи криптовалюты Monero (XMR). По оценкам, операторам Crackonosh удалось сгенерировать около 9000 XМР на сумму около 2 миллионов долларов по текущему обменному курсу Monero.

Цепочка атак Краконоша

Вредоносная программа Crackonosh сначала внедряется в популярные программные продукты, которые были взломаны и стали доступными на платформах распространения, известных своими пиратскими продуктами. Используя взломанные видеоигры в качестве оружия, операторы угрозы гарантируют, что будет привлечено значительное количество потенциальных жертв. Среди игр, выбранных хакерами, - NBA2K19, Far Cry 5, Grand Theft Auto 5, The Sims 4, Euro Truck Simulator 2 и другие.

Как только Crackonosh будет запущен, он заменит основные службы Windows. Угроза также оснащена процедурами защиты от обнаружения и способна удалять решения для защиты от вредоносных программ из взломанной системы. Комбинация функций, доступных Crackonosh, позволяет угрозе оставаться незамеченной в течение длительных периодов времени, максимизируя прибыль хакеров.

Чтобы избавиться от определенного количества продуктов для защиты от вредоносных программ, Crackonosh злоупотребляет средой безопасного режима Windows. В безопасном режиме антивирусное ПО не запускается. Затем угроза активирует угрожающий Serviceinstaller.exe, чтобы отключить и удалить Защитник Windows. Кроме того, удаляя определенные записи реестра, Crackonosh удается остановить Защитника Windows и отключить автоматический процесс обновления Windows в системе. Чтобы замаскировать отсутствующий Защитник, он устанавливает файл с именем MSASCuiL.exe. Единственная функция этого исполняемого файла - разместить значок безопасности Windows на панели задач.

Криптоджекинг - это относительно новое подмножество вредоносных программ, появившееся на фоне стремительного роста популярности множества криптовалют за последние несколько лет. Вместо того, чтобы покупать и строить собственные установки для майнинга, киберпреступники перемещали и создавали вредоносные программы, способные быстро перекачивать аппаратные ресурсы системы жертвы, и вынуждали их молча майнить определенную криптовалюту в фоновом режиме. Пользователи должны сохранять бдительность и проверять любую подозрительную активность на своих компьютерах.