Crackonosh 惡意軟件

一家網絡安全公司最近發布的一份報告揭露了一種在受感染機器上投放加密礦工的新惡意軟件。該威脅名為 Crackonosh，據信至少自 2018 年以來一直活躍。根據調查結果，該威脅活動已成功感染了 200,000 多台計算機。黑客部署了XMRig有效載荷並劫持了被破壞設備的資源來挖掘門羅幣 (XMR) 加密貨幣。據估計，Crackonosh 的運營商已經設法產生了大約 9000 XМР，按當前的門羅幣匯率計算，價值約 200 萬美元。

克拉克諾什的攻擊鏈

Crackonosh 惡意軟件首先被注入到流行的軟件產品中，這些軟件產品已被破解並在以託管盜版產品而聞名的分發平台上可用。通過將破解的視頻遊戲武器化，威脅的運營商確保將吸引大量潛在受害者。黑客選擇的遊戲包括 NBA2K19、孤島驚魂 5、俠盜獵車手 5、模擬人生 4、歐洲卡車模擬器 2 等。

一旦 Crackonosh 啟動，它將取代基本的 Windows 服務。該威脅還配備了反檢測程序，並能夠從被破壞的系統中刪除反惡意軟件解決方案。 Crackonosh 可用的功能組合允許威脅在很長一段時間內保持不可見狀態，從而最大限度地提高黑客的利潤。

為了擺脫選定數量的反惡意軟件產品，Crackonosh 濫用了 Windows 安全模式環境。在安全模式下，殺毒軟件是無法運行的。然後，威脅會激活具有威脅性的 Serviceinstaller.exe 以禁用和刪除 Windows Defender。此外，通過刪除特定的註冊表項，Crackonosh 設法停止 Windows Defender 並禁用系統上的自動 Windows 更新過程。為了掩蓋丟失的 Defender，它安裝了一個名為 MSASCuiL.exe 的文件。此可執行文件的唯一功能是在系統托盤上放置一個 Windows 安全圖標。

Cryptojacking 是一個相對較新的惡意軟件子集，伴隨著過去幾年發生的眾多加密貨幣的迅速普及而出現。網絡犯罪分子沒有購買和建造自己的挖礦設備，而是移動並創建了能夠迅速竊取受害者係統硬件資源的惡意軟件威脅，並迫使他們在後台默默地挖掘特定的加密貨幣。用戶應保持警惕並檢查其計算機上的任何可疑活動。