A Crackonosh egy Windows malware, amely a Crypto számára bányászik
A biztonsági kutatók új bányászfajtákat ástak ki. Ezt az új és csúnya hibát Crackonosh-nak hívják, és kényszerített módban kényszeríti újraindításra a Windows gépeket a megszakítás nélküli futtatáshoz és telepítéshez.
A rosszindulatú programok terjesztési láncolata nem különösebben újszerű vagy ritka. Főleg olyan webhelyeken terjesztik, amelyek kalóz vagy feltört szoftvereket kínálnak, özönlenek az illegális letöltésekhez, valamint fórumon, amelyek megosztják a kalóz alkalmazásokat és tartalmat.
A Crackonosh érdekessége, hogy annak ellenére, hogy csak nemrég fedezték fel, a kutatók úgy vélik, hogy ez már néhány éve létezik. A kártevő vizsgálata azután kezdődött, hogy a felhasználók jelentéseket kezdtek benyújtani a rendszerükből hirtelen hiányzó víruskereső szoftverről.
A Crackonosh működésének módja, amint a felhasználó telepíti a fertőzött telepítőt, vagy azt gondolja, hogy egy alkalmazás megrepedt verziója. A hasznos teher telepítése után változtatásokat hajt végre a Windows rendszerleíró bejegyzéseiben, lehetővé téve a rosszindulatú programok biztonságos módban történő végrehajtását is. Ha ez megtörtént, a Crackonosh úgy állítja be a számítógépet, hogy a következő újraindításkor automatikusan biztonságos módban indítsa el a felhasználót, anélkül, hogy bármilyen felhasználói információt megadna.
Miután a rendszert csökkentett módban indították újra, valószínűleg a felhasználó zavara miatt, a rosszindulatú program először letiltja, majd törli mind a Windows Defender-t, mind a rendszerben található bármely más víruskereső szoftvert. A rosszindulatú program a rendszer meghajtóit keresi a népszerű és széles körben használt víruskereső szoftverek széles skálája után, majd törli őket, és tisztán megtisztítja a rendszer naplófájljait, hogy tevékenységének nyomon követése szinte lehetetlen legyen.
Miután mindez megtörtént, a rosszindulatú program végül telepíti az XMRig-et - egy bányászt, amely a Monero kriptovalutával dolgozik, és aktív állapotában jelentős darabokat vesz fel a rendszer erőforrásaiból.
A kutatók becslése szerint a Crackonosh kártevő valószínűleg nagyjából 2 millió dollár értékűvé tette operátorait Monero-érmékben. A becsült napi fertőzések száma ezer körül van, a fertőzött rendszerek teljes becslése aggasztó 220 ezerre tehető.
Természetesen a hasonló fertőzések teljesen elkerülhetők, ha egyszerűen távol tartják magukat azoktól a webhelyektől, amelyek azt állítják, hogy a fizetős szoftver feltört verzióit tárolják. Annak ellenére, hogy az idő múlásával és a szerzői jogi törvények szigorításával az egész világon ezek az események ritkábban fordulnak elő, mint egy-két évtizeddel ezelőtt, a Crackonosh-szal fertőzöttek puszta száma azt jelzi, hogy ez még mindig kérdés.
