Crackonoshマルウェア

サイバーセキュリティ会社が最近発表したレポートで、感染したマシンに暗号マイナーをドロップする新しいマルウェアが明らかになりました。 Crackonoshという名前のこの脅威は、少なくとも2018年から活動していると考えられています。調査結果によると、脅迫キャンペーンは20万台を超えるコンピューターに感染しました。ハッカーはXMRigペイロードを展開し、侵害されたデバイスのリソースをハイジャックして、Monero（XMR）暗号通貨をマイニングしました。 Crackonoshのオペレーターは、現在のMoneroの為替レートで約200万ドル相当の約9000XМРを生成したと推定されています。

Crackonoshの攻撃チェーン

Crackonoshマルウェアは、海賊版製品のホスティングで知られる配布プラットフォームでクラックされて利用可能になった人気のあるソフトウェア製品に最初に注入されます。クラックされたビデオゲームを武器にすることで、脅威のオペレーターは、かなりの数の潜在的な犠牲者が引き寄せられることを保証します。ハッカーが選んだゲームには、NBA2K19、ファークライ5、グランドセフトオート5、ザシムズ4、ユーロトラックシミュレーター2などがあります。

Crackonoshが開始されると、重要なWindowsサービスに取って代わります。この脅威には、検出防止ルーチンも装備されており、侵害されたシステムからマルウェア対策ソリューションを削除することができます。 Crackonoshで利用可能な機能の組み合わせにより、脅威は長期間目に見えないままになり、ハッカーの利益を最大化できます。

選択した数のマルウェア対策製品を取り除くために、CrackonoshはWindowsセーフモード環境を悪用します。セーフモードでは、ウイルス対策ソフトウェアを実行できません。次に、脅威は脅威となるServiceinstaller.exeをアクティブにして、WindowsDefenderを無効にして削除します。さらに、特定のレジストリエントリを削除することにより、CrackonoshはWindows Defenderを停止し、システムの自動WindowsUpdateプロセスを無効にすることができます。欠落しているディフェンダーをマスクするために、MSASCuiL.exeという名前のファイルをインストールします。この実行可能ファイルの唯一の機能は、システムトレイにWindowsセキュリティアイコンを配置することです。

クリプトジャッキングは比較的新しいマルウェアサブセットであり、過去数年間に発生した多数の暗号通貨の人気の急激な上昇とともに出現します。サイバー犯罪者は、独自のマイニングリグを購入して構築する代わりに、被害者のシステムのハードウェアリソースをすばやく吸い上げることができるマルウェアの脅威を移動して作成し、バックグラウンドで特定の暗号通貨をサイレントにマイニングするように強制しました。ユーザーは常に注意を払い、コンピューター上の疑わしいアクティビティを検査する必要があります。