游戏玩家注意,安全研究人员发现一只挖矿软件借由多款貌似免费版的PC游戏软件传播,以便利用用户计算机资源挖加密货币。
起因是Avast发现去年有用户在Reddit反映,计算机上的Avast杀毒软件文件夹被清空,促使这家厂商调查。结果发现是用户通过Torrent网站下载的免费版PC游戏软件肇祸;这些PC游戏软件内藏恶意软件,研究人员将这只恶意程序称作Crackonosh,因为他们判断作者可能来自捷克。它主要目的是利用用户计算机资源挖矿,而且具备关闭杀毒软件等反侦测能力。
Crackonosh经由Torrent网站、论坛或非官方软件平台网站传播,研究人员找到至少有11款游戏软件被注入安装器,包括《NBA 2K19》、《侏罗纪世界:进化Jurassic World Evolution》、《侠盗猎车手VGrand Theft Auto V》、《极地战嚎Far Cry 5》、《模拟市民The Sims 4》、《异尘余生Fallout 4》。
恶意程序作者在盗版软件中植入Crackonosh的安装器,等用户下载到计算机安装后,即展开发布挖矿软件的过程。这个安装器迫使计算机多次重开机,使计算机进入安全模式。由于在安全模式下杀毒软件无法执行,它会借此关闭删除杀毒软件、同时关闭Windows Security。另外它也会删除serviceinstaller.msi和maintenance.vbs以掩饰活动记录。Cracknosh最终目标是挖矿,最终安装的专门挖门罗币(Monero,XMR)的软件XMRing。
分析Crackonosh的核心执行文件,研究人员研判它从2018年1月31第一代开始日,到2020年11月23日,已演化出至少30个版本。
研究人员分析Cracknosh有能力关闭的杀毒软件,还包括Adaware、Bitdefender、Escan、F-secure、Kaspersky、McAfee、Norton、Panda。
研究人员从去年12月7日起开始追溯,当时Crackonosh感染了1.5万台设备,直到5月每天都还平均感染数千台设备。主要受害者集中在北美(包括阿拉斯加)、巴西、印度、菲律宾及德国。研究人员告诉CNBC,巴西、印度及菲律宾是灾情最重的地区。将近6个月中,共有22万台Windows PC感染了Crackonosh。根据研究人员找到的门罗币电子钱包计算,黑客已挖了9000个门罗币,价值约200万美元。
研究人员呼吁用户不要贪小便宜,从不知名或陌生的网站下载可以不需付费的软件,以便受害。