Ερευνητές ασφαλείας ανακάλυψαν ένα νέο είδος κακόβουλου λογισμικού που καταχράται το Safe Mode των Windows κατά τη διάρκεια επιθέσεων. Το malware έχει ονομαστεί Crackonosh από ερευνητές της Avast, χρησιμοποιείται για cryptomining και εξαπλώνεται μέσω πειρατικών και cracked software.
Δείτε επίσης: ChaChi: Το νέο malware που χρησιμοποιείται σε επιθέσεις εναντίον εκπαιδευτικών ιδρυμάτων
Χρήστες του Avast antivirus άρχισαν να αναφέρουν στο Reddit την ξαφνική απώλεια του λογισμικού προστασίας από ιούς από τα system files. Η ερευνητική ομάδα διεξήγαγε έρευνα και διαπίστωσε ότι αυτό οφείλεται σε μόλυνση από ένα νέο κακόβουλο λογισμικό.
Το Crackonosh malware χρησιμοποιείται τουλάχιστον από τον Ιούνιο του 2018. Μόλις ένα θύμα εκτελέσει ένα αρχείο που πιστεύει ότι είναι μια cracked έκδοση ενός νόμιμου λογισμικού, γίνεται εγκατάσταση και του κακόβουλου λογισμικού.
Η μόλυνση ξεκινά με την εγκατάσταση ενός installer και ενός script που τροποποιεί το Windows registry για να επιτρέψει την εκτέλεση του κύριου εκτελέσιμου Crackonosh malware σε Safe Mode. Το μολυσμένο σύστημα ρυθμίζεται, ώστε να λειτουργήσει σε Safe Mode κατά την επόμενη εκκίνησή του.
Δείτε επίσης: Νέο malware εμποδίζει τα θύματα να επισκεφτούν “πειρατικά sites”
“Όσο το σύστημα των Windows βρίσκεται σε Safe Mode, το λογισμικό προστασίας από ιούς δεν λειτουργεί”, λένε οι ερευνητές. “Αυτό μπορεί να επιτρέψει στο κακόβουλο Serviceinstaller.exe να απενεργοποιήσει και να διαγράψει εύκολα το Windows Defender“.
Το Crackonosh πραγματοποιεί σάρωση για την ύπαρξη προγραμμάτων προστασίας από ιούς στο σύστημα συμπεριλαμβανομένων των Avast, Kaspersky, McAfee’s scanner, Norton και Bitdefender. Αν εντοπίσει κάποιο πρόγραμμα, προσπαθεί να το απενεργοποιήσει ή να το διαγράψει.
Στη συνέχεια, τα log system files διαγράφονται για να καλύψουν τα ίχνη του.Επίσης, σύμφωνα με τους ερευνητές, το Crackonosh malware προσπαθεί να σταματήσει το Windows Update και αντικαθιστά το Windows Security με ένα ψεύτικο εικονίδιο.
Το τελευταίο βήμα στην αλυσίδα μόλυνσης είναι η ανάπτυξη του XMRig, ενός cryptomining malware που αξιοποιεί την ισχύ και τους πόρους του συστήματος για να εξορύξει Monero cryptocurrency (XMR).
Οι ερευνητές της Avast λένε ότι το Crackonosh malware έχει δώσει στους χειριστές του τουλάχιστον 2 εκατομμύρια δολάρια σε Monero.
Δείτε επίσης: Πώς το νέο malware Siloscape παραβιάζει τα “Kubernetes clusters”;
Περίπου 1.000 συσκευές επηρεάζονται καθημερινά και πάνω από 222.000 μηχανήματα έχουν μολυνθεί παγκοσμίως.
Οι ερευνητές έχουν εντοπίσει τουλάχιστον 30 παραλλαγές του κακόβουλου λογισμικού. Η τελευταία έκδοση φαίνεται να κυκλοφόρησε τον Νοέμβριο του 2020.
“Όσο οι άνθρωποι συνεχίζουν να κατεβάζουν cracked software, τέτοιες επιθέσεις θα συνεχιστούν και θα εξακολουθούν να φέρνουν κέρδη στους επιτιθέμενους“, λέει η Avast.
Πηγή: ZDNet