Crackonosh vírus vyťažil $2 miliónov Monero z 222 000 hacknutých počítačov

Predtým nezdokumentovaný Windows malvér infikoval viac ako 222 000 systémov na celom svete najmenej od júna 2018, čo jeho vývojárom prinieslo najmenej 9000 moneros ($2 miliónov) v nelegálnych ziskoch.

dabovaný “Crackonosh“, malvér je distribuovaný prostredníctvom nelegálnych, cracknutých kópií obľúbeného softvéru, len aby sa deaktivovali antivírusové programy nainštalované v zariadení a nainštaloval sa balík mincí s názvom XMRig na tajné využívanie zdrojov infikovaného hostiteľa na ťažbu Monero.

Od januára bolo objavených najmenej 30 rôznych verzií spustiteľného malvéru. 1, 2018 a 23. novembra 2020, uviedla vo štvrtok česká softvérová spoločnosť Avast v oblasti kybernetickej bezpečnosti, pričom väčšina obetí sa nachádza v USA, Brazílii, Indii, Poľsku a na Filipínach.

Crackonosh funguje tak, že nahrádza kritické Windows systémové súbory ako „serviceinstaller.msi“ a „maintenance.vbs“, aby zakryli stopy a zneužili bezpečný režim, ktorý bráni fungovaniu antivírusového softvéru, na odstránenie Windows Defender (a ďalšie nainštalované riešenia) a vypnite automatické aktualizácie.

V rámci svojej antidetekčnej a antiforenznej taktiky malvér nainštaluje aj vlastnú verziu „MSASCuiL.exe“ (tj. Windows Defender), ktorý kladie ikonu Windows Zabezpečenie so zeleným začiarknutím na systémovej lište a spustením testov na zistenie, či beží na virtuálnom počítači.

Vlani v decembri bezpečnostný výskumník Roberto Franceschetti odhalil, že antivírusové aplikácie možno deaktivovať spustením v núdzovom režime a premenovaním ich adresárov aplikácií pred spustením príslušných služieb v r. Windows.

Microsoft však uviedol, že problém „nespĺňa latku pre bezpečnostné služby“ a poznamenal, že útok je založený na privilégiách správcu/root, pričom dodal, že „škodlivý správca môže robiť oveľa horšie veci“.

Tento vývoj prichádza aj po tom, ako sa zistilo, že podozriví čínski aktéri hroziaci za malvérom DirtyMoe a Purple Fox skompromitovali približne 100 000 Windows stroje ako súčasť vyvíjajúcej sa kampane na kryptojacking siahajúcu až do roku 2017.

„Crackonosh ukazuje riziká pri sťahovaní cracknutého softvéru,“ povedal bezpečnostný výskumník Avastu Daniel Beneš. “Pokiaľ budú ľudia pokračovať v sťahovaní cracknutého softvéru, útoky ako sú tieto budú pokračovať a budú pre útočníkov naďalej ziskové. Kľúčovým prínosom z toho je, že naozaj nemôžete niečo získať za nič a keď sa pokúsite ukradnúť softvér, je pravdepodobné, že sa ťa niekto pokúša ukradnúť.”