Crackonosh es un malware de minería de criptomonedas que se aprovecha del modo seguro de Windows durante los ataques. Dicho malware se propaga a través de programas sin licencia y crackeados, que a menudo se encuentra en torrents, foros y sitios web de «warez».
Estados Unidos, Brasil, India y Polonia son los lugares donde más computadoras infectados hay en otros países como España, Italia, Francia, Reino Unido, Argentina y México entre otros también existe una cantidad significativa de casos, todo esto de acuerdo con investigaciones realizadas por la empresa Avast.
Un promedio de 1.000 dispositivos están siendo atacados cada día y más de 222.000 máquinas han sido infectadas en todo el mundo. En total, se han identificado 30 variantes del malware, y se sabe que la última versión fue lanzada en noviembre de 2020.
Así funciona este malware
Se sabe que Crackonosh ha estado en circulación desde junio de 2018.
Una vez que la víctima ejecuta un archivo crackeado, el malware empieza su proceso.
Primero se activa un instalador y un script que modifica el registro de Windows que permitir que el ejecutable principal del malware se ejecute en modo seguro. El sistema infectado se configura para arrancar en modo seguro en su próximo inicio. Así, «mientras Windows está en modo seguro el antivirus no funciona».
Esto hace que Serviceinstaller.exe desactive y elimine fácilmente Windows Defender. A la vez utiliza WQL para consultar todo el software antivirus instalado. Crackonosh busca la existencia de programas antivirus de empresa como la propia Avast, Kaspersky, McAfee, Norton y Bitdefender y luego intenta desactivarlos o eliminarlos.
Los logs del sistema son entonces borrados para cubrir borrar sus huellas. Además, Crackonosh intenta detener Windows Update y sustituye Windows Security por un falso icono verde en la bandeja.
El último proceso es el despliegue de XMRig, un minero de criptomonedas que aprovecha la potencia y los recursos del sistema para minar la criptomoneda Monero (XMR). Avast dice que Crackonosh ha generado al menos 2 millones de dólares para sus operadores en Monero, con más de 9000 monedas XMR minadas.
