Crackonosh è un malware per Windows che estrae per le criptovalute
I ricercatori della sicurezza hanno scoperto un nuovo ceppo di malware minerario. Questo nuovo e brutto bug si chiama Crackonosh e forza il riavvio delle macchine Windows in modalità provvisoria per l'esecuzione e l'installazione senza interruzioni.
La catena di distribuzione del malware non è particolarmente nuova o insolita. È distribuito principalmente su siti Web che offrono software piratato o craccato, torrent per download illegali e forum che condividono app e contenuti piratati.
Il fatto curioso di Crackonosh è che anche se è stato scoperto solo di recente, i ricercatori credono che sia in circolazione da alcuni anni. L'indagine sul malware è iniziata dopo che gli utenti hanno iniziato a inviare segnalazioni sul loro software antivirus improvvisamente scomparso dai loro sistemi.
Il modo in cui funziona Crackonosh è che si distribuisce una volta che un utente installa un programma di installazione infetto o quella che crede essere una versione craccata di un'applicazione. Una volta distribuito, il payload apporta modifiche alle voci del registro di Windows, consentendo l'esecuzione del malware anche in modalità provvisoria. Fatto ciò, Crackonosh imposta il PC in modo che si avvii automaticamente in modalità provvisoria al successivo riavvio, senza alcun input da parte dell'utente.
Una volta riavviato il sistema in modalità provvisoria, probabilmente per la confusione dell'utente, il malware prima disattiva e poi elimina sia Windows Defender che qualsiasi altro software antivirus trovato nel sistema. Il malware esegue la scansione delle unità del sistema alla ricerca di un'ampia gamma di software antivirus popolari e ampiamente utilizzati, quindi li elimina e ripulisce i file di registro del sistema per rendere quasi impossibile la traccia della sua attività.
Dopo che tutto ciò è stato fatto, il malware installa finalmente XMRig, un miner che funziona con la criptovaluta Monero e occupa parti significative delle risorse del sistema quando è attivo.
Secondo le stime dei ricercatori, il malware Crackonosh ha probabilmente guadagnato ai suoi operatori circa 2 milioni di dollari in monete Monero. I contagi giornalieri stimati sono circa un migliaio e la stima totale dei sistemi infetti è di circa 220mila preoccupanti.
Naturalmente, infezioni simili possono essere completamente evitate semplicemente stando alla larga dai siti Web che affermano di ospitare versioni craccate di software a pagamento. Anche se nel tempo e con l'inasprimento delle leggi sul copyright in tutto il mondo, questi eventi sono meno comuni di quanto non fossero dieci o due anni fa, l'enorme numero di persone infettate da Crackonosh indica che questo è ancora un problema.
