Malware Crackonosh

Un nuevo malware que lanza un cripto-minero en máquinas infectadas ha salido a la luz en un informe publicado recientemente por una empresa de ciberseguridad. Llamada Crackonosh, se cree que la amenaza ha estado activa desde al menos 2018. Según los hallazgos, la amenazante campaña ha logrado infectar más de 200.000 computadoras. Los piratas informáticos desplegaron una carga útil XMRig y secuestraron los recursos de los dispositivos violados para extraer la criptomoneda Monero (XMR). Se estima que los operadores de Crackonosh han logrado generar alrededor de 9000 XМР, por un valor de $ 2 millones al tipo de cambio actual de Monero aproximadamente.

Cadena de ataque de Crackonosh

El malware Crackonosh se inyecta por primera vez en productos de software populares que se han descifrado y están disponibles en plataformas de distribución conocidas por alojar productos pirateados. Al convertir en armas los videojuegos agrietados, los operadores de la amenaza se aseguran de atraer a un número significativo de víctimas potenciales. Entre los juegos elegidos por los hackers se encuentran NBA2K19, Far Cry 5, Grand Theft Auto 5, The Sims 4, Euro Truck Simulator 2 y más.

Una vez que se inicie Crackonosh, reemplazará los servicios esenciales de Windows. La amenaza también está equipada con rutinas anti-detección y es capaz de eliminar las soluciones anti-malware del sistema vulnerado. La combinación de funcionalidades disponibles para Crackonosh permite que la amenaza permanezca invisible durante períodos prolongados maximizando las ganancias de los piratas informáticos.

Para deshacerse de un número selecto de productos anti-malware, Crackonosh abusa del entorno del modo seguro de Windows. En modo seguro, el software antivirus no se puede ejecutar. Luego, la amenaza activa el Serviceinstaller.exe amenazante para deshabilitar y eliminar Windows Defender. Además, al eliminar entradas de registro específicas, Crackonosh logra detener Windows Defender y deshabilitar el proceso automático de actualización de Windows en el sistema. Para enmascarar al Defender que falta, instala un archivo llamado MSASCuiL.exe. La única función de este ejecutable es poner un icono de seguridad de Windows en la bandeja del sistema.

Cryptojacking es un subconjunto de malware relativamente nuevo que aparece junto con el meteórico aumento de la popularidad de numerosas criptomonedas que tuvo lugar en los últimos años. En lugar de comprar y construir sus propias plataformas de minería, los ciberdelincuentes se movieron y crearon amenazas de malware capaces de desviar los recursos de hardware del sistema de la víctima rápidamente y los obligaron a extraer una criptomoneda específica en segundo plano en silencio. Los usuarios deben permanecer alertas e inspeccionar cualquier actividad sospechosa en sus computadoras.