摘要

一款在攻擊過程中利用Windows安全模式的加密貨幣挖礦惡意軟件被發現，每天約有1,000臺設備被攻擊，全球已有超過22.2萬臺機器被感染。該惡意軟件至少從2018年6月就開始蔓延，最新版本于2020年11月發布。研究人員表示，只要人們還下載破解的軟件，惡意軟件就會一直蔓延下去

名為Crackonosh的惡意軟件

一款在攻擊過程中濫用Windows安全模式的加密貨幣挖礦惡意軟件被發現，它通過盜版和破解軟件傳播，并經常出現在torrents, forums, 和 “warez “網站中。

Avast的研究人員將這種惡意軟件稱為Crackonosh。研究人員指出，該惡意軟件至少從2018年6月就開始蔓延，第一個受害者是運行偽裝成合法軟件的破解版軟件而被攻擊。

每天約有1,000臺設備被攻擊，全球已有超過22.2萬臺機器被感染。

主要利用系統算力和資源來挖掘門羅幣（XMR）（一種加密貨幣）。Crackonosh總共產生了至少200萬美元的門羅幣，有超過9000個XMR幣被開采出來。

到目前為止，該惡意軟件的30個變種已被確認，最新版本于2020年11月發布。

感染流程

啟動

感染鏈從一個安裝程序和一個修改Windows注冊表的腳本開始，允許主要的惡意軟件可執行文件在安全模式下運行。被感染的系統被設置為在下次啟動時以安全模式啟動。

抗殺軟

研究人員說，當Windows系統處于安全模式時，殺毒軟件就不會工作。這使得惡意的Serviceinstaller.exe能夠輕易地禁用和刪除Windows Defender。它還使用WQL查詢所有安裝的殺毒軟件SELECT * FROM AntiVirusProduct.

Crackonosh將檢查防病毒程序的存在，如Avast、Kaspersky、McAfee的掃描器、Norton和Bitdefender – 并嘗試禁用或刪除它們。然后擦除日志系統文件以掩蓋其痕跡。

阻止Windows更新

Crackonosh還將試圖停止Windows更新，并將用一個假的綠色勾選托盤圖標取代Windows安全。

挖礦

最后，部署了一個XMRig，這是一個加密貨幣礦工，利用系統算力和資源來挖掘門羅幣（XMR）（一種加密貨幣）。

Avast研究人員表示，只要人們還下載破解的軟件，惡意軟件就會一直蔓延下去