Pesquisadores de segurança relataram a descoberta de um novo malware que chamaram de Crackonosh. O malware foi descoberto por pesquisadores do Avast depois que eles receberam relatórios de usuários do reddit dizendo que seus programas AV estavam faltando em seus sistemas.
Malware Crackonosh em detalhes
O Avast analisou os relatórios e encontrou o conhecido malware Crackonosh, que usa ilegal, cópias crackeadas de software popular para propagar. O malware desativa programas antivírus como parte de suas técnicas antidetecção e antianálise forense, Os pesquisadores disse.
Pelo visto, a ameaça maliciosa elimina três arquivos principais identificados como winrmsrv.exe, winscomrssrv.dll, e winlogui.exe. Além de desativar programas AV, o malware também desativa o Windows Defender e o Windows Update como parte de seus recursos anti-detecção.
Em termos de sua instalação, o malware segue estas etapas:
1.Primeiro, a vítima executa o instalador do software crackeado.
2.O instalador executa maintenance.vbs
3.Maintenance.vbs então inicia a instalação usando serviceinstaller.msi
4.Serviceinstaller.msi registra e executa serviceinstaller.exe, o principal executável de malware.
5.Serviceintaller.exe remove StartupCheckLibrary.DLL.
6.StartupCheckLibrary.DLL baixa e executa wksprtcli.dll.
7.Wksprtcli.dll extrai o winlogui.exe mais recente e remove o arquivo winscomrssrv.dll e o winrmsrv.exe que ele contém, descriptografa e coloca na pasta.
Qual é o propósito do Crackonosh? O objetivo final de sua operação maliciosa é instalar o Mineiro de criptomoeda XMRing. Os pesquisadores conseguiram descobrir uma carteira que continha estatísticas, revelando pagamentos de 9000 XMR no total. Com preços de hoje, a soma é igual a mais de $2,000,000 USD.
Em poucas palavras, O Crackonosh é capaz de substituir arquivos críticos de sistema do Windows e explorar o Modo de Segurança do Windows para danificar os mecanismos de defesa do sistema. Para se proteger ainda mais, desabilita software de segurança, atualizações do sistema, e usa vários truques anti-análise para evitar a detecção. Todas essas abordagens tornam o Crackonosh muito difícil de detectar e remover.
O perigo sempre existente do software crackeado
Esta operação é mais um exemplo de como é perigoso fazer download de software crackeado e pirateado. “O Crackonosh está circulando desde pelo menos junho 2018 e cedeu $2,000,000 USD para seus autores em Monero de mais de 222,000 sistemas infectados em todo o mundo,”Avast apontou.
“A principal conclusão disso é que você realmente não consegue algo de graça e quando tenta roubar software, as chances são de que alguém está tentando roubar de você,”Concluíram os investigadores.
No início deste ano, informamos sobre uma campanha maliciosa envolvendo cópias quebradas do Microsoft Office e Adobe Photoshop. As cópias coletadas dos cookies de sessão do navegador e carteiras de criptomoedas Monero.