云计算业务承载平台
2021.07.08
金融威胁情报
Crackonosh 恶意软件滥用 Windows 安全模式挖倔加密货币Tag:Crackonosh,maintenance.vbs,Serviceinstaller.exe,Windows,加密货币
事件概述:
外媒披露自 2018 年 6 月以来,Windows 恶意软件 Crackonosh 已经感染了全球 222,
000 多个系统,获取了超过 9,000 门罗币的非法利润。在 2018 年 1 月 1 日至 2020 年 11 月 23 日期间,研究人员确定了 30 个不同版本的 Crackonosh 恶意软件可执行文件, 其中 Crackonosh 恶意软件大多数受害者位于美国、巴西、印度、波兰、菲律宾等国家。C rackonosh 恶意软件通过盗版和破解软件传播,滥用 Windows 安全模式阻止防病毒软件 工作,安装 XMRig 硬币矿工包挖掘加密货币。Avast 研究人员称下载破解版软件可能会有 感染 Crackonosh 的风险,只要下载恶意破解软件,Crackonosh 攻击就会继续为攻击者 带来利润。
技术详情:
此次攻击活动的感染链始于受害者运行破解版的安装程序执行 Maintenance.vbs 。攻 击者在Windows 任务管理器安装 VBS 脚本并将其设置为系统启动时运行,禁用受感染系 统的休眠模式,并将系统设置为下次重启时启动到安全模式,删除可执行文件 serviceinst aller.msi 和 maintenance.vbs 。当 Windows 系统处于安全模式时,恶意软件执行文件 Serviceinstaller.exe 可以轻松禁用和删除 Windows Defender。恶意软件还使用 WQL 来 查询所有安装的防病毒软件。如果查询到卡巴斯基、迈克菲等厂商的防病毒产品,恶意软件 会使用 rd <AV directory> /s /q 命令将其删除。此外,该恶意软件还尝试利用停止 Wind ows 更新,绿色勾号状态栏图标替换 Windows 安全中心等方式来逃避安全软件的检测与 分析。最后,部署 XMRig 挖掘门罗币。
参考链接:https://decoded.avast.io/danielbenes/crackonosh-a-new-malware-distributed-in-cracked-s oftware/
