Ο ιός Crackonosh εξόρυξε 2 εκατομμύρια δολάρια Monero από 222.000 ηλεκτρονικούς υπολογιστές
Ένα μη καταγεγραμμένο malware των Windows έχει μολύνει πάνω από 222.000 συστήματα παγκοσμίως από τουλάχιστον τον Ιούνιο του 2018, αποδίδοντας παράνομα κέρδη τουλάχιστον 9.000 Moneros (2 εκατομμύρια δολάρια) στον προγραμματιστή του.
Με το όνομα “Crackonosh”, το κακόβουλο λογισμικό διανέμεται μέσω παράνομων, σπασμένων αντιγράφων δημοφιλούς λογισμικού, το οποίο απενεργοποιεί τα προγράμματα προστασίας από ιούς και βρίσκονται εγκατεστημένα στον εκάστοτε υπολογιστή ενώ μετά εγκαθιστά ένα πακέτο εξόρυξης κρυπτονομισμάτων που ονομάζεται XMRig για να εκμεταλλευτεί κρυφά τους πόρους του μολυσμένου κεντρικού υπολογιστή με σκοπό να εξορύξει το Monero.
Το Crackonosh λειτουργεί αντικαθιστώντας σημαντικά αρχεία των συστημάτων Windows, όπως το serviceinstaller.msi και το maintenance.vbs για να καλύψει τα ίχνη του ενώ καταχράται την ασφαλή λειτουργία των Windows, η οποία αποτρέπει τη λειτουργία του λογισμικού προστασίας από ιούς, για τη διαγραφή του Windows Defender (και άλλων εγκατεστημένων εφαρμογών) και την απενεργοποίηση των αυτόματων ενημερώσεων.
Το κακόβουλο λογισμικό για να μην εντοπίζεται, εγκαθιστά τη δική του έκδοση “MSASCuiL.exe” (δηλαδή, Windows Defender), το οποίο βάζει το εικονίδιο της Ασφάλειας των Windows με ένα πράσινο τικ στο δίσκο συστήματος και εκτελείται δοκιμές για να προσδιορίσει εάν εκτελείται σε μια εικονική μηχανή.
Τον περασμένο Δεκέμβριο, ο ερευνητής ασφαλείας Roberto Franceschetti αποκάλυψε ότι οι εφαρμογές προστασίας από ιούς θα μπορούσαν να απενεργοποιηθούν με την εκκίνηση σε ασφαλή λειτουργία και μετονομασία των καταλόγων εφαρμογών τους πριν από την εκκίνηση των αντίστοιχων υπηρεσιών τους στα Windows.
Η Microsoft, ωστόσο, είπε ότι το ζήτημα δεν “πληροί τις απαραίτητες προϋποθέσεις για την ζητήματα μείζονος ασφαλείας”, σημειώνοντας ότι η επίθεση βασίζεται στο ότι έχει δικαιώματα διαχειριστή / root, προσθέτοντας ότι “ένας κακόβουλος διαχειριστής μπορεί να κάνει πολύ χειρότερα πράγματα.”
