Sikkerhedsforskere rapporterede netop opdagelsen af en ny malware, de kaldte Crackonosh. Malware blev afdækket af Avast-forskere, efter at de modtog rapporter fra reddit-brugere, der sagde, at deres AV-programmer manglede i deres systemer.
Crackonosh-malware i detaljer
Avast kiggede ind i rapporterne og fandt den såkaldte Crackonosh-malware, der bruger ulovligt, sprækkede kopier af populær software til propagering. Malwaren deaktiverer AV-programmer som en del af dens antidetektions- og antiforskningsteknikker, forskerne sagde.
Tilsyneladende, den ondsindede trussel falder tre nøglefiler identificeret som winrmsrv.exe, winscomrssrv.dll, og winlogui.exe. Ud over at deaktivere AV-programmer, malware deaktiverer også Windows Defender og Windows Update som en del af dets antidetektionsfunktioner.
Med hensyn til installationen, malware følger disse trin:
1.Første, offeret kører installationsprogrammet til den revnede software.
2.Installationsprogrammet kører maintenance.vbs
3.Maintenance.vbs starter derefter installationen ved hjælp af serviceinstaller.msi
4.Serviceinstaller.msi registrerer og kører serviceinstaller.exe, den vigtigste eksekverbare malware.
5.Serviceintaller.exe dropper StartupCheckLibrary.DLL.
6.StartupCheckLibrary.DLL downloader og kører wksprtcli.dll.
7.Wksprtcli.dll udpakker nyere winlogui.exe og dråber winscomrssrv.dll og winrmsrv.exe, som den indeholder, dekrypterer og placerer i mappen.
Hvad er formålet med Crackonosh? Det endelige mål for dets ondsindede operation er at installere XMRing cryptocurrency minearbejder. Forskerne var i stand til at afdække en tegnebog, der indeholdt statistikker, afslører betalinger af 9000 XMR i alt. Med dagens priser, summen er lig med mere end $2,000,000 USD.
I en nøddeskal, Crackonosh er i stand til at erstatte kritiske Windows-systemfiler og udnytte Windows Safe Mode til at beskadige systemets forsvarsmekanismer. For yderligere at beskytte sig selv, det deaktiverer sikkerhedssoftware, systemopdateringer, og bruger forskellige anti-analyse tricks for at forhindre detektion. Alle disse tilgange gør Crackonosh meget svært at opdage og fjerne.
Den evigt eksisterende fare for revnet software
Denne handling er endnu et eksempel på, hvor farligt det er at downloade revnet og piratkopieret software. ”Crackonosh har cirkuleret siden mindst juni 2018 og har givet over $2,000,000 USD for sine forfattere i Monero fra over 222,000 inficerede systemer over hele verden,”Påpegede Avast.
”Den vigtigste take-away fra dette er, at du virkelig ikke kan få noget for ingenting, og når du prøver at stjæle software, odds er, at nogen prøver at stjæle fra dig,”Forskerne konkluderede.
Tidligere i år, vi rapporterede om en ondsindet kampagne, der involverede revnede kopier af Microsoft Office og Adobe Photoshop. Kopierne høstede browsersessionscookies og Monero-cryptocurrency-tegnebøger.