Crackonosh to złośliwe oprogramowanie systemu Windows, które kopie dla Crypto
Badacze bezpieczeństwa wykopali nowy szczep złośliwego oprogramowania górniczego. Ten nowy i nieprzyjemny błąd nazywa się Crackonosh i wymusza ponowne uruchomienie komputerów z systemem Windows w trybie awaryjnym, aby można je było uruchomić i zainstalować bez żadnych przerw.
Łańcuch dystrybucji szkodliwego oprogramowania nie jest szczególnie nowy ani rzadki. Jest on dystrybuowany głównie na stronach internetowych oferujących pirackie lub złamane oprogramowanie, torrenty do nielegalnego pobierania oraz fora udostępniające pirackie aplikacje i treści.
Ciekawostką dotyczącą Crackonosha jest to, że chociaż odkryto go dopiero niedawno, naukowcy uważają, że istnieje już od kilku lat. Dochodzenie w sprawie złośliwego oprogramowania rozpoczęło się po tym, jak użytkownicy zaczęli przesyłać raporty o nagłym zniknięciu ich oprogramowania antywirusowego w ich systemach.
Sposób działania Crackonosh polega na tym, że wdraża się, gdy użytkownik zainstaluje zainfekowany instalator lub coś, co uważa za złamaną wersję aplikacji. Gdy ładunek zostanie wdrożony, wprowadza zmiany we wpisach rejestru systemu Windows, umożliwiając działanie szkodliwego oprogramowania nawet w trybie awaryjnym. Po wykonaniu tej czynności Crackonosh ustawia komputer, aby automatycznie uruchamiał się w trybie awaryjnym przy następnym uruchomieniu, bez udziału użytkownika.
Po ponownym uruchomieniu systemu w trybie awaryjnym, prawdopodobnie ku zdezorientowaniu użytkownika, złośliwe oprogramowanie najpierw wyłącza, a następnie usuwa zarówno program Windows Defender, jak i inne oprogramowanie antywirusowe znalezione w systemie. Złośliwe oprogramowanie skanuje dyski systemowe w poszukiwaniu szerokiego zakresu popularnego i powszechnie używanego oprogramowania antywirusowego, a następnie usuwa je i czyści pliki dziennika systemowego, aby śledzenie jego aktywności było prawie niemożliwe.
Po wykonaniu tego wszystkiego, złośliwe oprogramowanie w końcu instaluje XMRig - koparkę, która współpracuje z kryptowalutą Monero i zajmuje znaczną część zasobów systemu, gdy jest aktywna.
Według szacunków badaczy, złośliwe oprogramowanie Crackonosh prawdopodobnie zarobiło swoich operatorów na około 2 miliony dolarów w monetach Monero. Szacuje się, że liczba infekcji dziennie wynosi około tysiąca, a całkowita liczba zainfekowanych systemów szacuje się na niepokojące 220 tysięcy.
Oczywiście podobnych infekcji można całkowicie uniknąć, po prostu trzymając się z daleka od stron internetowych, które twierdzą, że udostępniają złamane wersje płatnego oprogramowania. Mimo że z biegiem czasu i zaostrzaniem się praw autorskich na całym świecie, te zjawiska są mniej powszechne niż dekadę lub dwie temu, sama liczba osób zarażonych Crackonoshem wskazuje, że nadal jest to problem.
