Crackonosh malware

Hacker infettano i PC dei giocatori con malware per guadagnare milioni con le criptovalute

Il malware chiamato Crackonosh forza la modalità provvisoria di Windows per estrarre di nascosto criptovaluta. Potrebbe aver generato milioni in pochi anni
Hacker infettano i PC dei giocatori con malware per guadagnare milioni con le criptovalute FASTWEB S.p.A.

I ricercatori hanno scoperto un ceppo di malware per il mining di criptovalute che abusa della modalità provvisoria di Windows.

Il malware, soprannominato Crackonosh dai ricercatori di Avast, si diffonde attraverso il software piratato e crackato, spesso trovato tramite torrent, forum e siti web "warez". 

A seguito di alcune query su Reddit di utenti Avast che lamentavano la scomparsa improvvisa del software antivirus dai loro file di sistema, il team ha condotto un'indagine, rendendosi conto che era dovuta a un'infezione da malware. 

Crackonosh è in circolazione almeno da giugno 2018. Una volta che una vittima esegue un file che ritiene essere una versione crackata di un software legittimo, viene distribuito anche il malware. 

La catena di infezione inizia con il rilascio di un programma di installazione e di uno script che modifica il registro di Windows per consentire l'esecuzione in modalità provvisoria del malware. Il sistema infetto è impostato per avviarsi in modalità provvisoria al successivo avvio. 

"Quando il sistema Windows è in modalità provvisoria, il software antivirus non funziona", affermano i ricercatori. "Questo può consentire al dannoso Serviceinstaller.exe di disabilitare ed eliminare facilmente Windows Defender. Il virus utilizza anche WQL per interrogare tutto il software antivirus installato SELECT * FROM AntiVirusProduct."

Crackonosh cercha quindi l'esistenza di programmi antivirus, inclusi Avast, Kaspersky, lo scanner di McAfee, Norton e Bitdefender, e tenterà di disabilitarli o eliminarli. I file di registro del sistema vengono quindi cancellati per coprire le sue tracce.

Inoltre, Crackonosh tenterà di arrestare Windows Update e sostituirà Windows Security con un'icona falsa della barra di spunta verde. 

Il passo finale è l'implementazione di XMRig, un miner di criptovaluta che sfrutta la potenza e le risorse del sistema per estrarre la criptovaluta Monero (XMR). Nel complesso, Avast afferma che Crackonosh ha generato almeno 2 milioni di dollari, con oltre 9000 XMR rubati. 

Ogni giorno vengono colpiti circa 1.000 dispositivi e oltre 222.000 macchine sono state infettate in tutto il mondo. 

In totale, sono state identificate 30 varianti del malware, con l'ultima versione rilasciata a novembre 2020. 

"Finché le persone continueranno a scaricare software crackati, attacchi come questi continueranno a essere redditizi per gli aggressori", afferma Avast. "Il punto chiave è che non si può pensare sempre di poter scaricare software piratati, perché sarebbe come rubare, ed è probabile che nel frattempo ci sia qualcuno che prova a rubare qualcosa da voi."
 

Fonte: zdnet.com
Condividi
Ebook
Sicurezza in Rete: ne sai abbastanza?
Strumenti utili, suggerimenti pratici e tutto quello che devi assolutamente sapere per proteggere davvero i tuoi dispositivi e i tuoi dati personali quando sei connesso
scarica l'ebook

Iscriviti alla
newsletter del
Digital Magazine di
Fastweb

Riceverai ogni settimana le notizie più interessanti sul mondo della tecnologia!
Iscriviti

Grazie per esserti iscritto!

Abbiamo inviato una mail all'indirizzo che hai indicato: per completare l'iscrizione alla newsletter del Digital Magazine di FASTWEB clicca sul link all'interno della mail