在攻击过程中发现了一个使用Windows安全模式的加密货币挖掘恶意软件,每天大约有1000台设备受到攻击,全球超过22.2万台机器被感染。该恶意软件至少从2018年6月开始传播,最新版本于2020年11月发布。研究人员表示,只要人们下载被破解的软件,恶意软件就会继续传播。
名为Crackonosh的恶意软件发现了一个加密货币挖掘恶意软件,该恶意软件在攻击期间滥用了Windows安全模式。它通过盗版和破解软件传播,经常出现在种子、论坛和“warez”网站上。
Avast研究人员称这种恶意软件为Crackonosh。研究人员指出,该恶意软件至少从2018年6月开始传播,第一名受害者是通过运行伪装成合法软件的破解版软件进行攻击的。
每天约有1000台设备受到攻击,全球已有超过22.2万台机器被感染。
主要利用系统计算能力和资源来挖掘门罗币(XMR)(一种加密货币)。Crackonosh总共产生了至少200万美元的门罗币,开采了9000多枚XMR币。
到目前为止,这种恶意软件的30个变种已经得到确认,最新版本于2020年11月发布。
感染链从安装程序和修改Windows注册表的脚本开始,允许主要恶意软件可执行文件在安全模式下运行。受感染的系统被设置为在下次引导时以安全模式引导。
反软件研究人员表示,当Windows系统处于安全模式时,杀毒软件将不起作用。这使得恶意Serviceinstaller.exe很容易禁用和删除Windows Defender。它还使用WQL从AntiVirusProduct查询所有已安装的防病毒软件SELECT *。
Crackonosh会检查防病毒程序的存在,如Avast、卡巴斯基、迈克菲的scanner、诺顿和Bitdefender——并尝试禁用或删除它们。然后清除日志系统文件来掩盖它们的痕迹。
阻止Windows Update Crackonosh还会尝试停止Windows Update,并将Windows security替换为一个假的绿色勾选托盘图标。
最后部署加密货币挖掘器XMRig,利用系统计算能力和资源挖掘门罗币(XMR)(一种加密货币)。
Avast研究人员表示,只要人们仍然下载破解软件,恶意软件就会继续传播。