Crackonosh Malware

Bir siber güvenlik şirketi tarafından yakın zamanda yayınlanan bir raporda, bir kripto madencisini virüslü makinelere bırakan yeni bir kötü amaçlı yazılım gün ışığına çıkarıldı. Crackonosh adlı tehdidin en az 2018'den beri aktif olduğuna inanılıyor. Bulgulara göre tehditkar kampanya 200.000'den fazla bilgisayara bulaşmayı başardı. Bilgisayar korsanları bir XMRig yükü dağıttı ve Monero (XMR) kripto para birimini çıkarmak için ihlal edilen cihazların kaynaklarını ele geçirdi. Crackonosh operatörlerinin, mevcut Monero döviz kurunda yaklaşık 2 milyon dolar değerinde yaklaşık 9000 XМР üretmeyi başardıkları tahmin edilmektedir.

Crackonosh'un Saldırı Zinciri

Crackonosh kötü amaçlı yazılımı ilk olarak, korsan ürünleri barındırdığı bilinen dağıtım platformlarında kullanıma sunulan ve kırılan popüler yazılım ürünlerine enjekte edilir. Crackli video oyunlarını silah haline getirerek, tehdidin operatörleri önemli sayıda potansiyel kurbanın çekilmesini sağlar. Hackerların seçtiği oyunlar arasında NBA2K19, Far Cry 5, Grand Theft Auto 5, The Sims 4, Euro Truck Simulator 2 ve daha fazlası yer alıyor.

Crackonosh başlatıldığında, temel Windows hizmetlerinin yerini alacaktır. Tehdit ayrıca tespit önleme rutinleriyle donatılmıştır ve ihlal edilen sistemden kötü amaçlı yazılımdan koruma çözümlerini silebilir. Crackonosh'a sunulan işlevlerin kombinasyonu, tehdidin uzun süreler boyunca görünmeden kalmasına izin vererek bilgisayar korsanlarının karlarını en üst düzeye çıkarır.

Belirli sayıda kötü amaçlı yazılımdan koruma ürününden kurtulmak için Crackonosh, Windows Güvenli mod ortamını kötüye kullanır. Güvenli modda, virüsten koruma yazılımı çalıştırılamaz. Tehdit daha sonra Windows Defender'ı devre dışı bırakmak ve silmek için tehdit eden Serviceinstaller.exe'yi etkinleştirir. Ayrıca, belirli kayıt defteri girdilerini silerek Crackonosh, Windows Defender'ı durdurmayı ve sistemdeki otomatik Windows Update işlemini devre dışı bırakmayı başarır. Eksik Defender'ı maskelemek için MSASCuiL.exe adlı bir dosya yükler. Bu yürütülebilir dosyanın tek işlevi, sistem tepsisine bir Windows Güvenlik simgesi yerleştirmektir.

Cryptojacking, son birkaç yılda gerçekleşen sayısız kripto paranın popülaritesindeki meteorik artışın yanında ortaya çıkan nispeten yeni bir kötü amaçlı yazılım alt kümesidir. Siber suçlular, kendi madencilik donanımlarını satın almak ve inşa etmek yerine, kurbanın sisteminin donanım kaynaklarını hızla çekebilecek ve onları arka planda sessizce belirli bir kripto para birimi için madencilik yapmaya zorlayabilecek kötü amaçlı yazılım tehditleri yarattı ve yarattı. Kullanıcılar uyanık kalmalı ve bilgisayarlarındaki şüpheli etkinlikleri incelemelidir.