Новости Вирус Cracknosh позволил хакерам добыть Monero на сумму 2 миллиона долларов США

Тема в разделе "Новости", создана пользователем Mr. Pickles, 3 июл 2021.

  1. Mr. Pickles

    Команда форума Модератор Редактор

    Регистрация:
    11 сен 2017
    Сообщения:
    938
    Симпатии:
    244
    1.jpg

    Ранее неизвестное вредоносное программное обеспечение (ПО), работающее с операционной системой Windows, позволило злоумышленникам, начиная с июня 2018, заразить более 220 000 систем по всему миру, что принесло им не меньше, чем 9000 Monero (2 миллиона долларов США) в виде нелегального дохода.

    Вредоносное ПО под названием Cracknosh распространялось посредством взломанных копий популярной программы и использовалось для отключения антивирусов, установленных на компьютеры с последующей установкой майнера XMRig, который скрытно использовал ресурсы взломанной машины для майнинга Monero.

    Согласно заявлению, сдеacланному представителями чешской компании в четверг, в период с 1 января 2018 по 23 ноября 2020 было выявлено, по крайней мере, 30 различных версий вредоносной программы, а большинство жертв находилось при этом в США, Бразилии, Индии, Польше и на Филиппинах.

    Crackonosh заменяет критически важные системные файлы Windows, такие как serviceinstaller.msi и maintenance.vbs, скрывая таким образом следы своей работы, и использует безопасный режим в своих целях, не позволяя антивирусу выполнять свои функции, удаляя Windows Defender (и другие решения, обеспечивающие антивирусную защиту) и отключая автоматические обновления.

    2.jpg

    Реализуя свою тактику, направленную на то. Чтобы избежать обнаружения и отслеживания, вредоносное ПО устанавливает собственную версию MSASCuiL.exe (то есть, Windows Defender), в результате чего в системной области появляется иконка Windows Security с зелёной меткой, и запускается тест, направленный на то, чтобы определить, работает ли программа на виртуальной машине.

    В декабре прошлого года исследователь в области компьютерной безопасности Роберто Францесчетти поделился информацией, согласно которой антивирусные программы можно отключить, загрузив безопасный режим и переименовав директории до того, как Windows запустит соответствующие службы.

    Тем не менее, как заявили представители компании Microsoft, решение проблемы «не требует изменения механизмов обеспечения безопасности», отметив при этом, что условием проведения такой атаки является наличие прав администратора / доступа к корневой директории, и что «злоумышленник с правами администратора способен нанести куда больший вред».

    3.jpg

    Также в разработке вируса подозревается китайский хакер, стоящий за созданием вредоносных программ DirtyMoe и Purple Fox, которые широко применялись для криптоджекинга ещё в 2017 году, когда было взломано примерно 100 000 машин, работающих под операционной системой Windows.

    «Crackonosh наглядно демонстрирует риски, связанные со скачиванием взломанного программного обеспечения, — говорит Дэниел Бинс, занимающийся исследованиями в области компьютерной безопасности. — Пока люди будут продолжать скачивать взломанное программное обеспечение, атаки подобные этой будут по-прежнему приносить прибыль злоумышленникам. Здесь важно прежде всего понять, что нельзя получить что-то просто так, бесплатно, и если вы пытаетесь украсть программное обеспечение, следует быть готовыми к тому, что кто-то попытается украсть что-то у вас».

    ---

    Источник: Crackonosh virus mined $2 million of Monero from 222,000 hacked computers

    Перевод:
    Mr. Pickles (@v1docq47)
    Редактирование:
    Agent LvM (@LvMi4)
    Коррекция:
    Kukima (@Kukima)
     
  • О нас

    Наш сайт является одним из уникальных мест, где русскоязычное сообщество Monero может свободно общаться на темы, связанные с этой криптовалютой. Мы стараемся публиковать полезные мануалы и статьи (как собственные, так и переводы с английского) о криптовалюте Monero. Если вы хорошо владеете английским (или можете писать собственные статьи/мануалы) и хотите помочь в переводах и общем развитии Monero для русскоязычной аудитории - свяжитесь с одним из администраторов.