I ricercatori della sicurezza hanno appena segnalato la scoperta di un nuovo malware chiamato Crackonosh. Il malware è stato scoperto dai ricercatori di Avast dopo aver ricevuto segnalazioni da utenti di reddit che affermavano che i loro programmi AV mancavano dai loro sistemi.
Crackonosh Malware in dettaglio
Avast ha esaminato i rapporti e ha trovato il cosiddetto malware Crackonosh, che usa illegale, copie craccate di software popolare da propagare. Il malware disabilita i programmi AV come parte delle sue tecniche anti-rilevamento e anti-forense, i ricercatori disse.
Apparentemente, la minaccia dannosa rilascia tre file chiave identificati come winrmsrv.exe, winscomrssrv.dll, e winlogui.exe. Oltre a disabilitare i programmi AV, il malware disabilita anche Windows Defender e Windows Update come parte delle sue capacità anti-rilevamento.
In termini di installazione, il malware segue questi passaggi:
1.Primo, la vittima esegue il programma di installazione del software craccato.
2.Il programma di installazione esegue maintenance.vbs
3.Maintenance.vbs avvia quindi l'installazione utilizzando serviceinstaller.msi
4.Serviceinstaller.msi registra ed esegue serviceinstaller.exe, il principale eseguibile del malware.
5.Serviceintaller.exe rilascia StartupCheckLibrary.DLL.
6.StartupCheckLibrary.DLL scarica ed esegue wksprtcli.dll.
7.Wksprtcli.dll estrae il nuovo winlogui.exe e rilascia winscomrssrv.dll e winrmsrv.exe che contiene, decrittografa e posiziona nella cartella.
Qual è lo scopo di Crackonosh? L'obiettivo finale della sua operazione dannosa è l'installazione del Minatore di criptovaluta XMRing. I ricercatori sono stati in grado di scoprire un portafoglio che conteneva statistiche, rivelare i pagamenti di 9000 XMR in totale. Con i prezzi di oggi, la somma è uguale a più di $2,000,000 Dollaro statunitense.
In poche parole, Crackonosh è in grado di sostituire i file di sistema critici di Windows e di sfruttare la modalità provvisoria di Windows per danneggiare i meccanismi di difesa del sistema. Per proteggersi ulteriormente, disabilita il software di sicurezza, aggiornamenti di sistema, e utilizza vari trucchi anti-analisi per impedire il rilevamento. Tutti questi approcci rendono Crackonosh molto difficile da rilevare e rimuovere.
Il pericolo sempre esistente del software craccato
Questa operazione è l'ennesimo esempio di quanto sia pericoloso scaricare software craccato e piratato. “Crackonosh circola almeno da giugno 2018 e ha ceduto $2,000,000 USD per i suoi autori a Monero da oltre 222,000 sistemi infetti in tutto il mondo,” ha sottolineato Avast.
"Il punto chiave da questo è che non puoi davvero ottenere qualcosa per niente e quando provi a rubare software, le probabilità sono che qualcuno stia cercando di derubarti,”I ricercatori hanno concluso.
All'inizio di quest'anno, abbiamo riferito di una campagna dannosa che coinvolge copie crackate di Microsoft Office e Adobe Photoshop. Le copie raccolte cookie di sessione del browser e portafogli di criptovaluta Monero.