محققان گونهای از بدافزارهای استخراج رمز ارز (Miner) را کشف کردهاند که به منظور عبور از سد ضدویروس از Windows Safe Mode سوءاستفاده میکند.
محققان اوست (Avast) این بدافزار را که از طریق نرمافزارهای کرک شده منتشر میشود، Crackonosh نامیدهاند.
بررسی این محققان پس از آن آغاز شد که برخی مشتریان این شرکت از حذف ناگهانی ضدویروس اوست از روی دستگاههای خود خبر داده بودند. تحقیقات بعدی نشان داد که بروز این رخداد ناشی از آلودگی دستگاه به بدافزار است.
Crackonosh حداقل از سه سال پیش فعال بوده است. هنگامی که قربانی نسخه کرک آلوده به کد مخرب بدافزار مذکور را اجرا میکند Crackonosh در سیستم فراخوانی میشود. زنجیره آلودگی با اجرای اسکریپتی آغاز میشود که با دست درازی بهWindows Registry موجب راهاندازی مجدد دستگاه در حالت Safe Mode میشود.
هنگامی که Windows در Safe Mode اجرا می شود تنها تعداد محدودی از نرم افزارها مجوز اجرا خواهند داشت. لذا حتی برنامههای ضدویروس در حالت Safe Mode فعال نیستند. بدافزار نیز که پیش تر خود را در فهرست این برنامههای مجاز افزوده است از این فرصت استفاده کرده و نسبت به ازکاراندازی ضدویروس و محصولات امنیت نقاط پایانی نصب شده بر روی دستگاه اقدام میکند.
به منظور استخراج نام ضدویروس نصب شده بر روی دستگاه، Crackonosh فرمان زیر را اجرا میکند:
SELECT * FROM AntiVirusProduct
علاوه بر این، Crackonosh بخش بهروزرسانیWindows را متوقف کرده و به جای آن یک نشان جعلی با تیک سبز را جایگزین Windows Security میکند. مرحله آخر مربوط به اجرای XMRig است که یک استخراج کننده رمز ارز میباشد و از منابع سیستم برای استخراج رمز ارز مونرو سوءاستفاده میکند.
بررسیهای اوست نشان میدهد که روزانه به طور میانگین 1000 دستگاه در معرض حملات این بدافزار قرار میگیرند. برآورد میشود Crackonosh تاکنون بیش از 222000 دستگاه را در سراسر جهان آلوده نموده باشد. در کل، 30 گونه بدافزار Crackonosh شناسایی شده بیش از 9000 مونرو، معادل 2 میلیون دلار را به نفع گردانندگان این بدافزار استخراج کرده اند.
مشروح گزارش اوست در لینک زیر قابل مطالعه است:
https://decoded.avast.io/danielbenes/crackonosh-a-new-malware-distributed-in-cracked-software/