Crackonosh is een Windows Malware die mijnen voor Crypto
Beveiligingsonderzoekers hebben een nieuwe soort miner-malware opgegraven. Deze nieuwe en vervelende bug heet Crackonosh en herstart Windows-machines geforceerd in de veilige modus om zonder onderbrekingen uit te voeren en te installeren.
De distributieketen van de malware is niet bijzonder nieuw of ongebruikelijk. Het wordt voornamelijk verspreid op websites die illegale of gekraakte software aanbieden, torrents voor illegale downloads en forums die illegale apps en inhoud delen.
Het merkwaardige feit over Crackonosh is dat hoewel het pas onlangs werd ontdekt, onderzoekers denken dat het al een paar jaar bestaat. Het onderzoek naar de malware begon nadat gebruikers begonnen te melden dat hun antivirussoftware plotseling ontbrak op hun systemen.
De manier waarop Crackonosh werkt, wordt geïmplementeerd zodra een gebruiker een geïnfecteerd installatieprogramma installeert of waarvan zij denken dat het een gekraakte versie van een toepassing is. Zodra de payload is geïmplementeerd, worden wijzigingen aangebracht in de Windows-registervermeldingen, waardoor de malware zelfs in de veilige modus kan worden uitgevoerd. Zodra dit is gebeurd, stelt Crackonosh de pc in om automatisch op te starten in de veilige modus de volgende keer dat deze opnieuw wordt opgestart, zonder enige invoer van de gebruiker.
Zodra het systeem opnieuw is opgestart in de veilige modus, wordt de malware, waarschijnlijk tot verwarring van de gebruiker, eerst uitgeschakeld en vervolgens zowel Windows Defender als alle andere antivirussoftware op het systeem verwijderd. De malware scant de schijven van het systeem op een breed scala aan populaire en veelgebruikte antivirussoftware, verwijdert ze vervolgens en wist systeemlogbestanden schoon om het traceren van de activiteit bijna onmogelijk te maken.
Nadat dit allemaal is gedaan, installeert de malware eindelijk XMRig - een miner die werkt met Monero-cryptocurrency en die een aanzienlijk deel van de systeembronnen in beslag neemt wanneer deze actief is.
Volgens schattingen van onderzoekers heeft de Crackonosh-malware zijn operators waarschijnlijk ongeveer $ 2 miljoen aan Monero-munten opgeleverd. De geschatte dagelijkse besmettingen liggen rond de duizend en het totale aantal geïnfecteerde systemen ligt op een zorgwekkende 220 duizend.
Natuurlijk kunnen soortgelijke infecties volledig worden vermeden door simpelweg weg te blijven van websites die beweren gekraakte versies van betaalde software te hosten. Hoewel na verloop van tijd en met de wereldwijde aanscherping van de auteursrechtwetten, deze gebeurtenissen minder vaak voorkomen dan een decennium of twee geleden, geeft het enorme aantal mensen dat besmet is met Crackonosh aan dat dit nog steeds een probleem is.
