Juegos pirateados difunden malware de criptojacking

Se ha descubierto un nuevo malware de minería de criptomonedas que se propaga a través de versiones pirateadas de conocidos videojuegos. Según los investigadores, la amenaza se identifica como Crackonosh. Según un informe reciente, el malware ha estado activo desde junio de 2018 y se ha propagado a través de versiones pirateadas de NBA 2K19, […]

Se ha descubierto un nuevo malware de minería de criptomonedas que se propaga a través de versiones pirateadas de conocidos videojuegos. Según los investigadores, la amenaza se identifica como Crackonosh.

Según un informe reciente, el malware ha estado activo desde junio de 2018 y se ha propagado a través de versiones pirateadas de NBA 2K19, Pro Evolution Soccer 2018, Grand Theft Auto V, archivos que los jugadores pueden descargar de forma gratuita.

En el caso de Crackonosh, el objetivo final es instalar el minero de criptomonedas XMRig para extraer la criptomoneda Monero desde el software descifrado descargado en el dispositivo infectado. Hasta ahora, los atacantes detrás de esta campaña reciente han extraído 9000 XMR (más de US$2 millones) en total.

Además, el malware se está propagando rápidamente, infectando 222.000 dispositivos únicos en más de una docena de países desde diciembre pasado.

Además, los países más atacados son Filipinas con 18.448 víctimas, seguido de Brasil (16.584), India (13.779), Polonia (12.727), Estados Unidos (11.856); y el Reino Unido (8.946). Lo que no significa que no se puedan sumar más países atacados a la lista.

El malware desactiva Windows Update / Defender eliminando una lista de entradas de registro y desactiva las actualizaciones automáticas. Además, instala el archivo exe MSASCuiL [.] Que coloca el icono de Seguridad de Windows en la bandeja del sistema.

La cadena de infección comienza tan pronto como alguien descarga e instala el software descifrado. El instalador ejecuta el mantenimiento [.] Vbs. Esto inicia el proceso de instalación usando serviceinstaller [.] Msi.
Ahora, el proceso serviceinstaller [.] Msi registra y ejecuta el archivo .exe de malware principal identificado como serviceinstaller [.] Exe. Deja caer otro archivo, StartupCheckLibrary [.] DLL, que descarga y ejecuta wksprtcli [.] Dll.

Este archivo (wksprtcli [.] Dll) extrae el archivo winlogui [.] Exe más nuevo y luego suelta los archivos winscomrssrv [.] Dll y winrmsrv [.] Exe que almacena los descifrados y luego los coloca en la carpeta.