Crackonosh-Malware

Crackonosh-Malware-Beschreibung

In einem kürzlich veröffentlichten Bericht eines Cybersicherheitsunternehmens wurde eine neue Malware ans Licht gebracht, die einen Krypto-Miner auf infizierten Computern ablegt. Die Bedrohung mit dem Namen Crackonosh soll mindestens seit 2018 aktiv gewesen sein. Den Erkenntnissen zufolge hat die Drohkampagne es geschafft, über 200.000 Computer zu infizieren. Die Hacker setzten eine XMRig- Nutzlast ein und entführten die Ressourcen der angegriffenen Geräte, um die Kryptowährung Monero (XMR) zu minen. Es wird geschätzt, dass es den Betreibern von Crackonosh gelungen ist, rund 9000 XМР zu generieren, was zum aktuellen Monero-Wechselkurs ungefähr 2 Millionen US-Dollar wert ist.

Crackonoshs Angriffskette

Die Crackonosh-Malware wird zuerst in gängige Softwareprodukte injiziert, die geknackt und auf Vertriebsplattformen bereitgestellt werden, die dafür bekannt sind, Raubkopien zu hosten. Durch die Bewaffnung geknackter Videospiele stellen die Betreiber der Bedrohung sicher, dass eine beträchtliche Anzahl potenzieller Opfer gezogen wird. Zu den von den Hackern ausgewählten Spielen gehören NBA2K19, Far Cry 5, Grand Theft Auto 5, Die Sims 4, Euro Truck Simulator 2 und mehr.

Sobald Crackonosh gestartet wurde, würde es wesentliche Windows-Dienste ersetzen. Die Bedrohung ist außerdem mit Anti-Erkennungs-Routinen ausgestattet und kann Anti-Malware-Lösungen aus dem angegriffenen System löschen. Die Kombination von Crackonosh zur Verfügung stehenden Funktionalitäten ermöglicht es, dass die Bedrohung für längere Zeit unsichtbar bleibt, wodurch die Gewinne der Hacker maximiert werden.

Um eine ausgewählte Anzahl von Anti-Malware-Produkten loszuwerden, missbraucht Crackonosh die Windows-Umgebung des abgesicherten Modus. Im abgesicherten Modus kann Antivirensoftware nicht ausgeführt werden. Die Bedrohung aktiviert dann die bedrohliche Serviceinstaller.exe, um Windows Defender zu deaktivieren und zu löschen. Darüber hinaus schafft es Crackonosh durch das Löschen bestimmter Registrierungseinträge, Windows Defender zu stoppen und den automatischen Windows Update-Prozess auf dem System zu deaktivieren. Um den fehlenden Defender zu maskieren, wird eine Datei namens MSASCuiL.exe installiert. Die einzige Funktion dieser ausführbaren Datei besteht darin, ein Windows-Sicherheitssymbol in der Taskleiste zu platzieren.

Cryptojacking ist eine relativ neue Malware-Untergruppe, die neben dem kometenhaften Anstieg der Popularität zahlreicher Kryptowährungen in den letzten Jahren auftaucht. Anstatt ihre eigenen Mining-Rigs zu kaufen und zu bauen, zogen Cyberkriminelle um und erstellten Malware-Bedrohungen, die die Hardware-Ressourcen des Systems des Opfers schnell abschöpfen und sie zwangen, im Hintergrund nach einer bestimmten Kryptowährung zu minen. Benutzer sollten wachsam bleiben und alle verdächtigen Aktivitäten auf ihren Computern überprüfen.