Le malware Crackonosh est surprenant non pas par son objectif ou sa formule de propagation, mais par sa technique pour passer inaperçu. Pour se propager, il utilise les cracks typiques et les téléchargements « warez » que l’utilisateur exécute lui-même, parfois même en mode administrateur. Sa formule pour atteindre l’utilisateur n’est donc pas très intéressante. Cependant, une fois exécuté, il modifie le système pour qu’il fonctionne en mode sans échec et redémarre en mode sans échec. Dans ce mode, Windows lance le strict minimum (y compris les pilotes) pour fonctionner et ne lance donc pas le système antivirus. Une fois dans ce mode, désactivez Defender et voyez s’il existe un autre antivirus pour le neutraliser également. Au prochain redémarrage « normal », ils ne fonctionneront plus.
Il désactive également les mises à jour et place une fausse icône verte de « vérification » sur le système afin que l’utilisateur ne remarque rien d’anormal. Il est intéressant de noter qu’il n’utilise pas de commande et de contrôle, mais envoie des paquets UDP à des adresses IP aléatoires. S’il y trouve de nouvelles versions de lui-même, il se met à jour à partir de ce système infecté.
Enfin, il extrait du Monero en « empruntant » des ressources système sans être détecté. Cela lui a permis de ne pas être détecté depuis 2018.
Plus d’information:
https://decoded.avast.io/danielbenes/crackonosh-a-new-malware-distributed-in-cracked-software/