Crackonosh ist eine Windows-Malware, die für Crypto schürft
Sicherheitsforscher haben einen neuen Stamm von Miner-Malware ausgegraben. Dieser neue und böse Fehler heißt Crackonosh und erzwingt einen Neustart von Windows-Computern im abgesicherten Modus, um ohne Unterbrechungen ausgeführt und installiert zu werden.
Die Verbreitungskette der Malware ist nicht besonders neu oder ungewöhnlich. Es wird hauptsächlich auf Websites verbreitet, die Raubkopien oder gecrackte Software anbieten, Torrents für illegale Downloads und Foren, die Raubkopien von Apps und Inhalten teilen.
Das Merkwürdige an Crackonosh ist, dass es, obwohl es erst vor kurzem entdeckt wurde, Forscher glauben, dass es es schon seit einigen Jahren gibt. Die Untersuchung der Malware begann, nachdem Benutzer anfingen, Berichte über das plötzliche Fehlen ihrer Antivirensoftware auf ihren Systemen einzureichen.
Crackonosh funktioniert so, dass es bereitgestellt wird, sobald ein Benutzer ein infiziertes Installationsprogramm oder eine seiner Meinung nach gecrackte Version einer Anwendung installiert. Sobald die Nutzlast bereitgestellt ist, nimmt sie Änderungen an den Windows-Registrierungseinträgen vor, sodass die Malware auch im abgesicherten Modus ausgeführt werden kann. Sobald dies erledigt ist, stellt Crackonosh den PC so ein, dass er beim nächsten Neustart ohne Benutzereingaben automatisch im abgesicherten Modus bootet.
Sobald das System im abgesicherten Modus neu gestartet wird, was wahrscheinlich zur Verwirrung des Benutzers führt, wird die Malware zuerst deaktiviert und dann sowohl Windows Defender als auch jede andere auf dem System gefundene Antivirensoftware gelöscht. Die Malware durchsucht die Laufwerke des Systems nach einer Vielzahl beliebter und weit verbreiteter Antivirensoftware, löscht sie dann und löscht die Systemprotokolldateien, um die Verfolgung ihrer Aktivitäten nahezu unmöglich zu machen.
Nachdem dies alles erledigt ist, installiert die Malware schließlich XMRig – einen Miner, der mit der Monero-Kryptowährung arbeitet und im aktiven Zustand erhebliche Teile der Systemressourcen beansprucht.
Nach Schätzungen der Forscher hat die Crackonosh-Malware ihren Betreibern wahrscheinlich ungefähr 2 Millionen Dollar in Monero-Münzen eingebracht. Die geschätzten täglichen Infektionen liegen bei etwa tausend und die Gesamtzahl der infizierten Systeme liegt bei besorgniserregenden 220.000.
Natürlich können ähnliche Infektionen vollständig vermieden werden, indem Sie sich einfach von Websites fernhalten, die behaupten, gecrackte Versionen kostenpflichtiger Software zu hosten. Auch wenn diese Vorkommnisse im Laufe der Zeit und mit weltweit verschärften Urheberrechtsgesetzen seltener sind als noch vor ein oder zwei Jahrzehnten, zeigt die bloße Zahl der mit Crackonosh infizierten Menschen, dass dies immer noch ein Problem ist.
