Beveiligingsonderzoekers meldden zojuist de ontdekking van een nieuwe malware die ze Crackonosh . noemden. De malware werd ontdekt door Avast-onderzoekers nadat ze rapporten ontvingen van reddit-gebruikers die zeiden dat hun AV-programma's op hun systemen ontbraken.
Crackonosh-malware in detail
Avast onderzocht de rapporten en vond de zogenaamde Crackonosh-malware, die gebruik maakt van illegale, gekraakte kopieën van populaire software om te verspreiden. De malware schakelt AV-programma's uit als onderdeel van zijn anti-detectie- en anti-forensische technieken, de onderzoekers zei.
Blijkbaar, de kwaadaardige bedreiging laat drie belangrijke bestanden vallen die worden geïdentificeerd als winrmsrv.exe, winscomrssrv.dll, en winlogui.exe. Naast het uitschakelen van AV-programma's, de malware schakelt ook Windows Defender en Windows Update uit als onderdeel van zijn anti-detectiemogelijkheden.
In termen van de installatie, de malware volgt deze stappen:
1.Eerste, het slachtoffer voert het installatieprogramma uit voor de gekraakte software.
2.Het installatieprogramma voert maintenance.vbs uit
3.Maintenance.vbs start vervolgens de installatie met serviceinstaller.msi
4.Serviceinstaller.msi registreert en voert serviceinstaller.exe uit, het belangrijkste uitvoerbare bestand van malware.
5.Serviceintaller.exe laat StartupCheckLibrary.DLL vallen.
6.StartupCheckLibrary.DLL downloadt en voert wksprtcli.dll uit.
7.Wksprtcli.dll extraheert nieuwere winlogui.exe en dropt winscomrssrv.dll en winrmsrv.exe die het bevat, decodeert en plaatst in de map.
Wat is het doel van Crackonosh? Het einddoel van de kwaadaardige operatie is het installeren van de XMRing cryptocurrency-mijnwerker. De onderzoekers konden één portemonnee ontdekken die statistieken bevatte, onthullende betalingen van 9000 XMR in totaal. Met vandaag prijzen, de som is gelijk aan meer dan $2,000,000 USD.
In een notendop, Crackonosh kan kritieke Windows-systeembestanden vervangen en de veilige modus van Windows gebruiken om de verdedigingsmechanismen van het systeem te beschadigen. Om zichzelf verder te beschermen, het schakelt beveiligingssoftware uit, systeemupdates, en gebruikt verschillende anti-analysetrucs om detectie te voorkomen. Al deze benaderingen maken Crackonosh erg moeilijk te detecteren en te verwijderen.
Het altijd bestaande gevaar van gekraakte software
Deze operatie is nog een ander voorbeeld van hoe gevaarlijk het is om gekraakte en illegale software te downloaden. “Crackonosh circuleert al sinds juni 2018 en heeft overgegeven $2,000,000 USD voor zijn auteurs in Monero van over de hele wereld 222,000 geïnfecteerde systemen wereldwijd,” merkte Avast op.
“De belangrijkste conclusie hiervan is dat je echt niets voor niets kunt krijgen en wanneer je software probeert te stelen, de kans is groot dat iemand van je probeert te stelen,”Concludeerden de onderzoekers.
Eerder dit jaar, we hebben gerapporteerd over een kwaadaardige campagne waarbij: gekraakte exemplaren van Microsoft Office en Adobe Photoshop. De kopieën verzamelden browsersessiecookies en Monero cryptocurrency wallets.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: