Crackonosh Malware Mengeksploitasi Mode Aman Windows untuk Menambang Cryptocurrency Secara Diam-diam

Crackonosh Malware Mengeksploitasi Mode Aman Windows untuk Menambang Cryptocurrency Secara Diam-diam

 

Para peneliti telah menemukan varian malware penambangan cryptocurrency yang mengeksploitasi Mode Aman Windows selama serangan.
Para peneliti di Avast menyebut malware Crackonosh, dan menyebar melalui perangkat lunak bajakan dan retak, yang dapat ditemukan melalui torrent, forum, dan situs web “warez”.
Setelah melihat laporan tentang pengguna antivirus Reddit dari Avast yang khawatir tentang hilangnya program antivirus secara tiba-tiba dari file sistem mereka, tim menyelidiki masalah tersebut dan menemukan bahwa itu adalah akibat dari infeksi malware.
Setidaknya sejak Juni 2018, Crackonosh telah beredar, dan ketika korban menjalankan file yang mereka anggap sebagai versi crack dari perangkat lunak asli, virus juga akan terinstal. Rantai infeksi dimulai dengan distribusi penginstal dan skrip yang mengubah registri Windows untuk memungkinkan malware utama yang dapat dieksekusi berjalan dalam mode Aman. Pada startup berikutnya, sistem yang terinfeksi diatur untuk diluncurkan dalam Safe Mode.
Para peneliti menyatakan, “Sementara sistem Windows dalam mode aman, perangkat lunak antivirus tidak berfungsi. Ini dapat mengaktifkan Serviceinstaller.exe yang berbahaya untuk menonaktifkan dan menghapus Windows Defender dengan mudah. ​​Ia juga menggunakan WQL untuk menanyakan semua perangkat lunak antivirus yang diinstal SELECT * FROM AntiVirusProduct .”
Crackonosh memindai perangkat lunak antivirus, seperti Avast, Kaspersky, pemindai McAfee, Norton, dan Bitdefender, dan mencoba menonaktifkan atau menghancurkannya. File sistem log kemudian dihapus untuk menghapus bukti. Crackonosh juga mencoba untuk menonaktifkan Pembaruan Windows dan mengganti Keamanan Windows dengan ikon baki centang hijau palsu.
Penyebaran XMRig, penambang cryptocurrency yang memanfaatkan kekuatan sistem dan sumber daya untuk menambang cryptocurrency Monero (XMR), adalah langkah terakhir dalam perjalanan.
Menurut Avast, Crackonosh telah menghasilkan setidaknya $2 juta di Monero untuk operatornya dengan harga hari ini, dengan lebih dari 9000 koin XMR ditambang. Sekitar 1.000 perangkat terinfeksi setiap hari dan lebih dari 222.000 mesin terpengaruh di seluruh dunia. Ada 30 variasi malware yang berbeda, dengan yang terbaru dirilis pada November 2020.
Avast menyatakan, “Selama orang-orang terus mengunduh perangkat lunak yang di-crack, serangan seperti ini akan terus berlanjut dan terus menguntungkan bagi penyerang. Kunci yang dapat diambil dari sini adalah Anda benar-benar tidak dapat memperoleh sesuatu secara gratis dan ketika Anda mencoba untuk mencuri perangkat lunak, kemungkinan besar seseorang mencoba mencuri dari Anda.”

Pos terkait