Logiciel malveillant Crackonosh

Un nouveau malware larguant un crypto-mineur sur des machines infectées a été mis en lumière dans un rapport récemment publié par une société de cybersécurité. Nommée Crackonosh, la menace serait active depuis au moins 2018. Selon les résultats, la campagne menaçante a réussi à infecter plus de 200 000 ordinateurs. Les pirates ont déployé une charge utile XMRig et détourné les ressources des appareils violés pour exploiter la crypto-monnaie Monero (XMR). On estime que les opérateurs de Crackonosh ont réussi à générer environ 9 000 XМР, d'une valeur de 2 millions de dollars environ au taux de change actuel de Monero.

Chaîne d'attaque de Crackonosh

Le malware Crackonosh est d'abord injecté dans des produits logiciels populaires qui ont été craqués et mis à disposition sur des plateformes de distribution connues pour héberger des produits piratés. En armant les jeux vidéo crackés, les opérateurs de la menace s'assurent qu'un nombre important de victimes potentielles seraient tirées. Parmi les jeux choisis par les hackers figurent NBA2K19, Far Cry 5, Grand Theft Auto 5, Les Sims 4, Euro Truck Simulator 2 et plus encore.

Une fois Crackonosh lancé, il remplacerait les services Windows essentiels. La menace est également équipée de routines anti-détection et est capable de supprimer les solutions anti-malware du système violé. La combinaison de fonctionnalités disponibles pour Crackonosh permet à la menace de rester invisible pendant de longues périodes, maximisant ainsi les profits des pirates.

Pour se débarrasser d'un certain nombre de produits anti-malware, Crackonosh abuse de l'environnement du mode sans échec de Windows. En mode sans échec, le logiciel antivirus ne peut pas s'exécuter. La menace active alors le serviceinstaller.exe menaçant pour désactiver et supprimer Windows Defender. De plus, en supprimant des entrées de registre spécifiques, Crackonosh parvient à arrêter Windows Defender et à désactiver le processus de mise à jour automatique de Windows sur le système. Pour masquer le Defender manquant, il installe un fichier nommé MSASCuiL.exe. La seule fonction de cet exécutable est de mettre une icône de sécurité Windows dans la barre d'état système.

Le cryptojacking est un sous-ensemble de logiciels malveillants relativement nouveau qui apparaît parallèlement à l'augmentation fulgurante de la popularité de nombreuses crypto-monnaies au cours des dernières années. Au lieu d'acheter et de construire leurs propres plates-formes minières, les cybercriminels se sont déplacés et ont créé des menaces de logiciels malveillants capables de siphonner rapidement les ressources matérielles du système de la victime et de les obliger à rechercher une crypto-monnaie spécifique en arrière-plan en silence. Les utilisateurs doivent rester vigilants et inspecter toute activité suspecte sur leurs ordinateurs.