Crackonosh skadlig programvara

En ny skadlig programvara som släpper en kryptominer på infekterade maskiner har kommit fram i en nyligen publicerad rapport från ett cybersäkerhetsföretag. Hotet heter Crackonosh och antas ha varit aktivt sedan åtminstone 2018. Enligt resultaten har den hotande kampanjen lyckats infektera över 200 000 datorer. Hackarna distribuerade en XMRig- nyttolast och kapade resurserna för de brutna enheterna för att bryta ut Monero (XMR) -kryptovalutan. Det uppskattas att operatörerna av Crackonosh har lyckats generera cirka 9000 XМР, värda 2 miljoner dollar till den nuvarande Monero-växelkursen.

Crackonoshs Attack Chain

Crackonosh-skadlig programvara injiceras först i populära programvaruprodukter som har blivit knäckta och gjort tillgängliga på distributionsplattformar som är kända för att vara värd för piratkopierade produkter. Genom att beväpna knäckta videospel ser operatörerna av hotet till att ett betydande antal potentiella offer dras. Bland de spel som hackarna valt är NBA2K19, Far Cry 5, Grand Theft Auto 5, The Sims 4, Euro Truck Simulator 2 och mer.

När Crackonosh har initierats skulle det ersätta viktiga Windows-tjänster. Hotet är också utrustat med antidetekteringsrutiner och kan ta bort antimalwarelösningar från det trasiga systemet. Kombinationen av funktioner som är tillgängliga för Crackonosh gör att hotet kan förbli osett under långa perioder för att maximera hackarnas vinster.

För att bli av med ett utvalt antal anti-malware-produkter missbrukar Crackonosh Windows Safe-miljö. I säkert läge kan inte antivirusprogram köras. Hotet aktiverar sedan den hotande Serviceinstaller.exe för att inaktivera och ta bort Windows Defender. Genom att ta bort specifika registerposter lyckas Crackonosh dessutom stoppa Windows Defender och inaktivera den automatiska Windows Update-processen i systemet. För att maskera den saknade Defender installerar den en fil med namnet MSASCuiL.exe. Den enda funktionen för den här körbara filen är att placera en Windows-säkerhetsikon i systemfältet.

Cryptojacking är en relativt ny delmängd av skadlig programvara som visas tillsammans med den meteoriska ökningen i popularitet hos många kryptovalutor som ägde rum de senaste åren. Istället för att köpa och bygga sina egna gruvutrustningar flyttade cyberbrottslingar och skapade skadliga hot som kan avbryta offertens hårdvaruresurser snabbt och tvingade dem att bryta för en specifik kryptovaluta i bakgrunden tyst. Användare bör hålla sig vaksamma och inspektera misstänkt aktivitet på sina datorer.