Scoperto un nuovo malware denominato “Crackonosh” che viene distribuito insieme a copie illegali e craccate di software popolari e cerca e disabilitare molti programmi antivirus popolari come parte delle sue tattiche anti-rilevamento e anti-forense.

Crackonosh si installa sostituendo i file di sistema critici di Windows e abusando della modalità provvisoria di Windows per compromettere le difese del sistema.

Installazione di Crackonosh:

  1. Innanzitutto, la vittima esegue il programma di installazione del software craccato.
  2. Il programma di installazione esegue maintenance.vbs
  3. Maintenance.vbs quindi avvia l’installazione usando serviceinstaller.msi
  4. Serviceinstaller.msi registra ed esegue serviceinstaller.exe, il principale eseguibile del malware.
  5. Serviceintaller.exe lancia StartupCheckLibrary.DLL.
  6. StartupCheckLibrary.DLL scarica ed esegue wksprtcli.dll.
  7. Wksprtcli.dll estrae più recenti winlogui.exe e rilascia winscomrssrv.dlle winrmsrv.exe che contiene, decifra e inserisce nella cartella.

Crackonosh intraprende azioni specifiche per eludere e disabilitare il software di sicurezza come l’eliminazione del software antivirus in modalità provvisoria, l’arresto di Windows Update e la sostituzione di Windows Security con l’icona di spunta verde nella barra delle applicazioni.

Questo malware si protegge ulteriormente disabilitando il software di sicurezza, gli aggiornamenti del sistema operativo e impiega altre tecniche anti-analisi per impedire la scoperta, rendendolo molto difficile da rilevare e rimuovere.

L’obiettivo principale di Crackonosh è l’installazione del coinminer XMRig da tutti i portafogli da cui gli esperti sono stati in grado di trovare le statistiche e i dati che mostravano pagamenti 9000 XMR in totale, cioè con prezzi superiori a $2,000,000 USD.

Crackonosh mostra i rischi nel download di software craccato e dimostra che è altamente redditizio per gli attori malevoli. Crackonosh circola almeno da giugno 2018 e ha ceduto $2,000,000 USD per i suoi autori a Monero da 222,000 infettando sistemi in tutto il mondo.

“Finché le persone continueranno a scaricare software craccato, attacchi come questi continueranno a essere redditizi per gli aggressori. Il punto chiave è che non puoi davvero ottenere qualcosa per niente e quando cerchi di rubare software, è probabile che qualcuno stia cercando di rubare da te”, concludono gli esperti.

 

https://decoded.avast.io/danielbenes/crackonosh-a-new-malware-distributed-in-cracked-software/

Facebook
Facebook
fb-share-icon
Twitter
Visit Us
Tweet
LinkedIn
Share
YOUTUBE

Articoli Correlati: