Pozor na Krakonoše. Malware z cracknutého softwaru tajně těží kryptoměnu

Škodlivý software, který po napadení počítače začne využívat jeho výkon k těžbě Bitcoinu či jiné kryptoměny, se objevuje poměrně často. „Mining malware“ objevený společností Avast ovšem stojí za pozornost hned z několika důvodů. Tím prvním je samotný původ, neboť dostupné indicie vedou k tomu, že by kořeny této hrozby mohly být v České republice. Proto byla odborníky pojmenována „Crackonosh“ – slovní hříčka kombinující jméno známé mytické postavy a crackingu, což v tomto kontextu značí odstraňování ochranných prvků softwaru. Právě tímto způsobem se malware nejčastěji šíří.

 

 

Uživatel si nejčastěji stáhne cracknutý software z torrentů, warezových fór nebo jiných neoficiálních zdrojů. Útočníci si vybírají hlavně mezi piráty dlouhodobě populární hry, jako jsou NBA 2K19, Grand Theft Auto V, Far Cry 5, The Sims 4 nebo Jurassic World Evolution. V balíčku se kromě hry nachází také malware, který po instalaci provede změnu registrů ve Windows. Tím škodlivému kódu umožní spuštění v nouzovém režimu, který se zapne po následujícím restartu. V nouzovém režimu nefungují antivirové programy, proto má Crackonosh příležitost se zbavit zbylých překážek.

 

Malware v dalším kroku deaktivuje a odstraní Windows Defender ze systému. Následně pomocí WQL odinstaluje Avast nebo jiný antivir, jehož přítomnost zjistí v počítači. Výzkumníci zjistili, že detekuje bezpečnostní software od Adaware, Bitdefender, Escan, F-secure, Kaspersky, McAfee (pouze skener), Norton a Panda. Nezapomene ani zamést veškeré stopy tím, že z operačního systému odstraní soubory protokolů. Dále se pokusí zakázat aktualizace přes službu Windows Update a dokonce přidá falešnou ikonku Zabezpečení Windows se zelenou fajfkou, aby v uživateli vzbudil pocit, že je počítač chráněn. Potom už je do počítače nainstalován software XMRIG určený k těžbě kryptoměny Monero (XMR).

 

 

Avast tvrdí, že Crackonosh funguje nejméně od června 2018. Za necelé dva roky měli hackeři na napadených počítačích vytěžit více než 9 tisíc mincí XMR. Při dnešních cenách si tak přišli na nejméně 2 miliony dolarů. Celosvětově mělo být napadeno na 220 tisíc počítačů po celém světě. Skutečné číslo ovšem může být mnohem vyšší, protože jsou zaznamenány jen stroje využívající antivir od Avastu. Ačkoliv se Crackonosh objevuje také v Česku, nejčastěji operuje v USA, na Filipínách, v Brazílii nebo v sousedním Polsku. Celkem byly identifikovány tři desítky variant malwaru, nejnovější pochází z listopadu 2020. Uživatelé mohou přítomnost malwaru poznat díky podivnému chování PC, jako je např. nezvykle vysoké zatížení CPU.

 

Zdroj: Decoded.avast.io