Des chercheurs en sécurité viennent de signaler la découverte d'un nouveau malware qu'ils ont appelé Crackonosh. Le malware a été découvert par les chercheurs d'Avast après avoir reçu des rapports d'utilisateurs de reddit disant que leurs programmes AV étaient absents de leurs systèmes..
Crackonosh Malware en détail
Avast a examiné les rapports et a trouvé le soi-disant malware Crackonosh, qui utilise illégalement, copies craquées de logiciels populaires à propager. Le malware désactive les programmes AV dans le cadre de ses techniques anti-détection et anti-légale, les chercheurs dit.
Apparemment, la menace malveillante supprime trois fichiers clés identifiés comme winrmsrv.exe, winscomrssrv.dll, et winlogui.exe. En plus de désactiver les programmes AV, le malware désactive également Windows Defender et Windows Update dans le cadre de ses capacités anti-détection.
Au niveau de son installation, le malware suit ces étapes:
1.Première, la victime exécute le programme d'installation du logiciel cracké.
2.Le programme d'installation exécute maintenance.vbs
3.Maintenance.vbs démarre ensuite l'installation à l'aide de serviceinstaller.msi
4.Serviceinstaller.msi enregistre et exécute serviceinstaller.exe, le principal exécutable du malware.
5.Serviceintaller.exe supprime StartupCheckLibrary.DLL.
6.StartupCheckLibrary.DLL télécharge et exécute wksprtcli.dll.
7.Wksprtcli.dll extrait le plus récent winlogui.exe et supprime winscomrssrv.dll et winrmsrv.exe qu'il contient, décrypte et place dans le dossier.
Quel est le but de Crackonosh? L'objectif final de son opération malveillante est d'installer le Mineur de crypto-monnaie XMRing. Les chercheurs ont pu découvrir un portefeuille contenant des statistiques, révélant les paiements de 9000 XMR au total. Avec les prix d'aujourd'hui, la somme est supérieure à $2,000,000 USD.
En un mot, Crackonosh est capable de remplacer les fichiers système critiques de Windows et d'exploiter le mode sans échec de Windows pour endommager les mécanismes de défense du système. Pour se protéger davantage, il désactive le logiciel de sécurité, mises à jour système, et utilise diverses astuces anti-analyse pour empêcher la détection. Toutes ces approches rendent Crackonosh très difficile à détecter et à supprimer.
Le danger éternel des logiciels piratés
Cette opération est un autre exemple de la dangerosité du téléchargement de logiciels crackés et piratés.. « Crackonosh circule depuis au moins juin 2018 et a cédé $2,000,000 USD pour ses auteurs en Monero à partir de 222,000 systèmes infectés dans le monde," Avast a souligné.
« La clé à retenir est que vous ne pouvez vraiment pas obtenir quelque chose pour rien et lorsque vous essayez de voler un logiciel, il y a de fortes chances que quelqu'un essaie de vous voler,» Les chercheurs ont conclu.
Plus tôt cette année, nous avons signalé une campagne malveillante impliquant copies craquées de Microsoft Office et Adobe Photoshop. Les copies ont récolté les cookies de session de navigateur et les portefeuilles de crypto-monnaie Monero.