اجرای بدافزار Crackonosh در Safe Mode

محققان گونه‌ای از بدافزارهای استخراج رمز ارز (Miner) را کشف کرده‌اند که به منظور عبور از سد ضدویروس از Windows Safe Mode  سوء‌استفاده می‌کند.

محققان اوست (Avast) این بدافزار را که از طریق نرم‌افزارهای کرک شده منتشر می‌شود، Crackonosh نامیده‌اند.

بررسی این محققان پس از آن آغاز شد که برخی مشتریان این شرکت از حذف ناگهانی ضدویروس اوست از روی دستگاه‌های خود خبر داده بودند. تحقیقات بعدی نشان داد که  بروز این رخداد ناشی از آلودگی دستگاه به بدافزار است.

Crackonosh حداقل از سه سال پیش فعال بوده است. هنگامی که قربانی نسخه کرک آلوده به کد مخرب بدافزار مذکور را اجرا می‌کند Crackonosh در سیستم فراخوانی می‌شود. زنجیره آلودگی با اجرای اسکریپتی آغاز می‌شود که با دست درازی بهWindows Registry موجب راه‌اندازی مجدد دستگاه در حالت Safe Mode می‌شود.

هنگامی که Windows  در Safe Mode اجرا می شود تنها تعداد محدودی از نرم افزارها مجوز اجرا خواهند داشت. لذا حتی برنامه‌های ضدویروس در حالت Safe Mode فعال نیستند. بدافزار نیز که پیش تر خود را در فهرست این برنامه‌های مجاز افزوده است از این فرصت استفاده کرده و نسبت به از‌کاراندازی ضدویروس و محصولات امنیت نقاط پایانی نصب شده بر روی دستگاه اقدام می‌کند.

به منظور استخراج نام ضدویروس نصب شده بر روی دستگاه، Crackonosh  فرمان زیر را اجرا می‌کند:

SELECT * FROM AntiVirusProduct

علاوه بر این، Crackonosh بخش به‌روز‌رسانیWindows  را متوقف کرده و به جای آن یک نشان جعلی با تیک سبز را جایگزین Windows Security می‌کند. مرحله آخر مربوط به اجرای XMRig است که یک استخراج کننده رمز ارز می‌باشد و از منابع سیستم برای استخراج رمز ارز مونرو سوءاستفاده می‌کند.

بررسی‌های اوست نشان می‌دهد که روزانه به طور میانگین 1000 دستگاه در معرض حملات این بدافزار قرار می‌گیرند. برآورد می‌شود Crackonosh تاکنون بیش از 222000 دستگاه را در سراسر جهان آلوده نموده باشد. در کل، 30 گونه بدافزار Crackonosh شناسایی شده بیش از 9000 مونرو، معادل 2 میلیون دلار را به نفع گردانندگان این بدافزار استخراج کرده اند.

مشروح گزارش اوست در لینک زیر قابل مطالعه است:

https://decoded.avast.io/danielbenes/crackonosh-a-new-malware-distributed-in-cracked-software/