Crackonoshは、暗号をマイニングするWindowsマルウェアです

セキュリティ研究者は、マイナーマルウェアの新種を掘り起こしました。この新しくて厄介なバグはCrackonoshと呼ばれ、Windowsマシンをセーフモードで強制的に再起動して、中断することなく実行およびインストールします。

マルウェアの配布チェーンは、特に目新しいものでも珍しいものでもありません。これは主に、海賊版またはクラックされたソフトウェアを提供するWebサイト、違法ダウンロードの急流、および海賊版のアプリやコンテンツを共有するフォーラムで配布されます。

Crackonoshについての不思議な事実は、それが最近発見されたとしても、研究者はそれが数年前から存在していると信じているということです。マルウェアの調査は、ユーザーがウイルス対策ソフトウェアがシステムから突然欠落しているというレポートを提出し始めた後に開始されました。

Crackonoshの仕組みは、ユーザーが感染したインストーラーをインストールするか、アプリケーションのクラックされたバージョンであるとユーザーが信じているものをインストールすると、デプロイされます。ペイロードが展開されると、Windowsレジストリエントリが変更され、セーフモードでもマルウェアが実行できるようになります。これが完了すると、Crackonoshは、ユーザーの入力なしで、次に再起動したときにセーフモードで自動的に起動するようにPCを設定します。

システムがセーフモードで再起動されると、ユーザーが混乱する可能性がありますが、マルウェアは最初に無効にし、次にWindowsDefenderとシステム上にある他のウイルス対策ソフトウェアの両方を削除します。このマルウェアは、システムのドライブをスキャンして、広く使用されているさまざまなウイルス対策ソフトウェアを探し、それらを削除してシステムログファイルを消去し、アクティビティの追跡をほぼ不可能にします。

これらすべてが完了した後、マルウェアは最終的にXMRigをインストールします。これはMonero暗号通貨で動作し、アクティブなときにシステムのリソースのかなりの部分を占めるマイナーです。

研究者の推定によると、Crackonoshマルウェアは、そのオペレーターに約200万ドルのMoneroコインをもたらした可能性があります。推定される1日の感染数は約1,000であり、感染したシステムの推定値の合計は22万にのぼります。

もちろん、同様の感染は、有料ソフトウェアのクラックされたバージョンをホストしていると主張するWebサイトから離れることで完全に回避できます。時間の経過とともに世界中で著作権法が強化されているにもかかわらず、これらの発生は10年または2年前ほど一般的ではありませんが、Crackonoshに感染した人の数が非常に多いことは、これが依然として問題であることを示しています。