È stato scoperto un nuovo malware di cryptojacking Monero che si diffonde tramite versioni crackate di noti giochi online. Secondo i ricercatori, la minaccia è identificata come Crackonosh. Elimina i programmi antivirus e il mining di criptovalute in più di una dozzina di paesi.
La scoperta
Secondo un recente rapporto, il malware è attivo da giugno 2018 e si diffonde tramite versioni piratate di NBA 2K19, Pro Evolution Soccer 2018, Grand Theft Auto V e i giocatori possono scaricarli gratuitamente.
- Nel caso di Crackonosh, l’obiettivo finale è installare il coin miner XMRig per estrarre la criptovaluta Monero dall’interno del software crackato scaricato sul dispositivo infetto.
- Finora, gli aggressori dietro questa recente campagna hanno estratto 9000 XMR (più di $ 2 milioni) in totale.
- Inoltre, il malware si sta diffondendo rapidamente, infettando 222.000 dispositivi unici in più di una dozzina di paesi dallo scorso dicembre. A maggio, riceve ancora circa 1.000 visite in un solo giorno.
- Inoltre, i Paesi più presi di mira sono le Filippine con 18.448 vittime, seguite da Brasile (16.584), India (13.779), Polonia (12.727), Stati Uniti (11.856); e il Regno Unito (8.946).
Il malware disabilita Windows Update/Defender eliminando un elenco di voci di registro e disattivando gli aggiornamenti automatici. Inoltre, installa il file MSASCuiL[.]exe che mette l’icona di Windows Security nella barra delle applicazioni.
La diffusione a catena
La catena di infezione inizia non appena qualcuno scarica e installa il software crackato. Il programma di installazione esegue la manutenzione[.]vbs. Questo avvia il processo di installazione utilizzando serviceinstaller[.]msi.
- Ora, il processo serviceinstaller[.]msi registra ed esegue il file malware principale .exe identificato come serviceinstaller[.]exe. Rilascia un altro file, StartupCheckLibrary[.]DLL, che scarica ed esegue wksprtcli[.]dll.
- Questo file (wksprtcli[.]dll) estrae il file winlogui[.]exe più recente e quindi rilascia winscomrssrv[.]dll e winrmsrv[.]exe che memorizza decrittografa e quindi inserisce nella cartella.
Conclusioni
Il software crackato è una delle principali fonti utilizzate dagli aggressori per diffondere malware e minacce come Crackonosh continuano a sfruttare l’interesse degli utenti per tali fonti inaffidabili. Pertanto, si consiglia agli utenti di utilizzare software originale per prevenire eventuali incidenti informatici.