Clicky

El virus Crackonosh extrajo $ 2 millones de Monero de 222.000 computadoras pirateadas

Virus Crackonosh

Se distribuye a través de copias ilegales y crackeadas de popular software de juegos

Un malware de Windows previamente indocumentado ha infectado más de 222.000 sistemas en todo el mundo desde al menos junio de 2018, lo que le ha reportado a su desarrollador no menos de 9.000 Moneros ($ 2 millones) en ganancias ilegales.

Denominado "Crackonosh", el malware se distribuye a través de copias ilegales y crackeadas de popular software de juegos, deshabilitando los programas antivirus instalados en la máquina e instalar un paquete de minería de monedas llamado XMRig para explotar sigilosamente los recursos del host infectado para minar Monero.

Se han descubierto al menos 30 versiones diferentes del ejecutable de malware entre el 1 de enero de 2018 y el 23 de noviembre de 2020, dijo el jueves la compañía checa de software de ciberseguridad Avast, con la mayoría de las víctimas ubicadas en los EE. UU., Brasil, India Polonia y Filipinas.

Crackonosh mapa

Crackonosh funciona reemplazando archivos críticos del sistema de Windows como serviceinstaller.msi y maintenance.vbs para cubrir sus pistas y abusa del modo seguro, que evita que funcione el software antivirus, para eliminar Windows Defender (y otras soluciones instaladas) y desactivar las actualizaciones automáticas.

Como parte de sus tácticas anti-detección y anti-forense, el malware también instala su propia versión de "MSASCuiL.exe" (es decir, Windows Defender), que coloca el ícono de Seguridad de Windows con una marca verde en la bandeja del sistema y ejecuta pruebas para determinar si se está ejecutando en una máquina virtual.

malware Crackonosh

En diciembre pasado, el investigador de seguridad Roberto Franceschetti reveló que las aplicaciones antivirus podrían deshabilitarse iniciando en modo seguro y cambiando el nombre de sus directorios de aplicaciones antes de que se lancen los servicios correspondientes en Windows.

Microsoft, sin embargo, dijo que el problema "no cumple con el estándar de servicios de seguridad", y señaló que el ataque se basa en tener privilegios de administrador/root, y agregó que un "administrador malintencionado puede hacer cosas mucho peores".

Crackonosh impacto

El desarrollo también se produce cuando se descubrió que un actor chino sospechoso de amenazas detrás del malware DirtyMoe y Purple Fox comprometió alrededor de 100.000 máquinas con Windows como parte de una campaña de criptojacking en evolución que se remonta a 2017.

"Crackonosh muestra los riesgos de descargar software crackeado", dijo el investigador de seguridad de Avast, Daniel Beneš. "Mientras la gente continúe descargando software crackeado, continuarán los ataques como estos y seguirán siendo rentables para los atacantes. La clave para protegerse de esto es que realmente no se puede obtener algo a cambio de nada y cuando intentas robar software, es probable que alguien esté tratando de robarte".

Jesus_Caceres