Nuevo malware, abusa del modo seguro de Windows, para minar silenciosamente criptomonedas

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

El malware, bautizado como Crackonosh por los investigadores de Avast, se propaga a través de software pirata y crackeado, que suele encontrarse en torrents, foros y sitios web de “warez”.

Después de encontrar informes en Reddit de usuarios del antivirus Avast consultando la pérdida repentina del software antivirus de sus archivos de sistema, el equipo llevó a cabo una investigación de la situación, dándose cuenta de que se debía a una infección de malware.

Crackonosh ha estado en circulación desde al menos junio de 2018. Una vez que la víctima ejecuta un archivo que cree que es una versión crackeada de un software legítimo, el malware también se despliega.

La cadena de infección comienza con la caída de un instalador y un script que modifica el registro de Windows para permitir que el ejecutable principal del malware se ejecute en modo seguro. El sistema infectado se configura para arrancar en modo seguro en su próximo inicio.

Crackonosh buscará la existencia de programas antivirus -incluyendo Avast, Kaspersky, el escáner de McAfee, Norton y Bitdefender- e intentará desactivarlos o eliminarlos. Los archivos de registro del sistema se borran para cubrir sus huellas.

Además, Crackonosh intentará detener Windows Update y sustituirá Windows Security por un falso icono verde en la bandeja.

El último paso del viaje es el despliegue de XMRig, un minero de criptomonedas que aprovecha la potencia y los recursos del sistema para minar la criptomoneda Monero (XMR).

En general, Avast dice que Crackonosh ha generado al menos 2 millones de dólares para sus operadores en Monero a los precios actuales, con más de 9000 monedas XMR minadas.

Aproximadamente 1.000 dispositivos están siendo atacados cada día y más de 222.000 máquinas han sido infectadas en todo el mundo.

En total, se han identificado 30 variantes del malware, y la última versión fue lanzada en noviembre de 2020.

Con información de: Europa Press.

Escucha mis podcast