Crackonosh 恶意软件

一家网络安全公司最近发布的一份报告揭露了一种在受感染机器上投放加密矿工的新恶意软件。该威胁名为 Crackonosh，据信至少自 2018 年以来一直活跃。根据调查结果，该威胁活动已成功感染了 200,000 多台计算机。黑客部署了XMRig有效载荷并劫持了被破坏设备的资源来挖掘门罗币 (XMR) 加密货币。据估计，Crackonosh 的运营商已经设法产生了大约 9000 XМР，按当前的门罗币汇率计算，价值约 200 万美元。

克拉克诺什的攻击链

Crackonosh 恶意软件首先被注入到流行的软件产品中，这些软件产品已被破解并在以托管盗版产品而闻名的分发平台上可用。通过将破解的视频游戏武器化，威胁的运营商确保将吸引大量潜在受害者。黑客选择的游戏包括 NBA2K19、孤岛惊魂 5、侠盗猎车手 5、模拟人生 4、欧洲卡车模拟器 2 等。

一旦 Crackonosh 启动，它将取代基本的 Windows 服务。该威胁还配备了反检测程序，并能够从被破坏的系统中删除反恶意软件解决方案。 Crackonosh 可用的功能组合允许威胁在很长一段时间内保持不可见状态，从而最大限度地提高黑客的利润。

为了摆脱选定数量的反恶意软件产品，Crackonosh 滥用了 Windows 安全模式环境。在安全模式下，杀毒软件是无法运行的。然后，威胁会激活具有威胁性的 Serviceinstaller.exe 以禁用和删除 Windows Defender。此外，通过删除特定的注册表项，Crackonosh 设法停止 Windows Defender 并禁用系统上的自动 Windows 更新过程。为了掩盖丢失的 Defender，它安装了一个名为 MSASCuiL.exe 的文件。此可执行文件的唯一功能是在系统托盘上放置一个 Windows 安全图标。

Cryptojacking 是一个相对较新的恶意软件子集，随着过去几年发生的众多加密货币的迅速普及而出现。网络犯罪分子没有购买和建造自己的挖矿设备，而是转移并创建了能够迅速窃取受害者系统硬件资源的恶意软件威胁，并迫使他们在后台默默地挖掘特定的加密货币。用户应保持警惕并检查其计算机上的任何可疑活动。