Los ciberdelincuentes no dejan de innovar y crear nuevos malware para infectar nuestros ordenadores y utilizarlos en su beneficio. Este es el caso de Crackonosh, un malware que lleva operando sigilosamente desde 2018 y que ha sido descubierto recientemente gracias a los reportes de usuarios del antivirus Avast y el investigador que ha dado aviso sobre esta amenaza, que convierte nuestro ordenador en un minero de criptomonedas.
En este artículo hablamos de:
¿Qué es Crackonosh?
Crackonosh es un malware que, como los troyanos, emplea un programa aparentemente «legítimo» para descargar e instalar un minero de criptomonedas Monero (XMR) en nuestro ordenador de una manera especialmente sigilosa, que hace que pase completamente desapercibido para los usuarios.
Se desconoce su origen, pero según el investigador de Avast que ha dado la voz de alarma, llevaría operando desde 2018 en ordenadores de todo el mundo, habiendo infectado desde entonces más de 220.000 equipos.
Hemos entrecomillado «legítimo» porque, como veremos más adelante, en esta ocasión el vector de entrada de Crackonosh no es un software legal, sino programas pirateados que los crackers informáticos han aprovechado para colocar este malware, con el que ya se habrían ganado más de 2 millones de dólares.
Objetivos de Crackonosh
El objetivo de Crackonosh es conseguir criptomonedas Monero, pero no hay que confundirlo con una estafa con criptomonedas, ya que lo que hace este virus es poner a trabajar en los ordenadores infectados un minero, un software que usa los recursos de estos equipos para tratar de resolver los algoritmos matemáticos que se emplean para la creación de criptomonedas.
Dado que no existe una legislación sobre criptomonedas en España ni en otros lugares, nada impide a estos cibercriminales explotar los ordenadores de miles de usuarios para conseguir criptomonedas de esta forma y enriquecerse con ellas.
¿Cómo funciona Crackonosh?
Como decíamos, el vector de entrada de Crackonosh son los software pirateados, en concreto los videojuegos, puesto que los investigadores habrían encontrado rastros de instaladores del malware en juegos populares como Far Cry 5, The Sims 4, GTA V, NBA 2K2019 o Fallout 4 GOTY, entre otros.
El juego crackeado se instala de forma correcta en el ordenador y funciona de manera adecuada, por lo que los usuarios no son conscientes de que junto al juego, han instalado Crackonosh en su equipo.
Al ejecutar el archivo del juego, un instalador y un script modifican el registro de Windows para ejecutar el malware en el modo seguro de Windows 10 o versiones anteriores, lo que hace arrancar el sistema en modo seguro y deshabilita el antivirus que se tenga instalado, permitiendo a Crackonosh llevar a cabo otras funciones sin que la víctima sea consciente de ello.
De esta forma, Crackonosh es capaz de desactivar tanto Windows Defender (el antivirus que viene instalado por defecto en todos los ordenadores que usan Windows) y cualquier otro antivirus que se pueda tener instalado, puesto que puede buscar antivirus de firmas tan conocidas como Avast, Norton, McAfee, Bitdefender o Kaspersky. Además, no solo puede desactivarlos, también puede eliminarlos, dejando así el ordenador infectado completamente expuesto.
Crackonosh también elimina los archivos de registro del sistema (archivos serviceinstaller.msi y Maintenance.vbs) para ocultarse. Además, puede detener los servicios de actualizaciones de Windows y cambiar el icono de Seguridad de Windows (el escudo con el check verde en la barra de herramientas) por uno falso, para hacer creer al usuario que todo sigue funcionando como debiera.
A su vez, este malware instala el minero XMRig para redirigir los recursos del ordenador infectado a minar Monero.
Posibles consecuencias si usan mi PC para criptominería
Si bien Crackonosh no se usa, aparentemente, para robar información o secuestrar el equipo para pedir un rescate, la criptominería acarrea otros problemas no menos serios para el PC.
Al usar los recursos de los equipos en esta tarea, hace que el ordenador infectado vaya más lento, aumente el consumo de energía del mismo (lo que se traduce en una subida en la factura de la luz) y se produzca un desgaste más rápido del hardware. Es decir, que si alguien usa nuestro PC para criptominería, estará acortando su vida útil significativamente, pudiendo dejarnos sin equipo o parte de él.
Además, como hemos visto, Crackonosh deja inoperativos los antivirus, por lo que nuestro ordenador estará completamente expuesto a otros malware y a la posibilidad de que nos roben información y credenciales para acceder a nuestras cuentas de usuario en diferentes plataformas y servicios.
Cómo evitar ser víctima de Crackonosh
¿Cómo podemos evitar ser víctimas de Crackonosh? Fácilmente, no descargando programas pirata. Este tipo de software crackeado es una de las principales fuentes de malware actualmente, puesto que quien más, quien menos ha descargado e instalado alguna vez un programa pirata (sea un videojuego o cualquier otro tipo de programa). Los cibercriminales lo saben y los utilizan como vectores de entrada para infectar equipos.
Ahora, si has descargado alguno de esos juegos pirateados que hemos mencionado más arriba (o cualquier otro) y te estás preguntando cómo detectar Crackonosh en tu equipo, la tarea no es fácil, porque es un malware que se esconde muy bien. Pero la forma en la que los investigadores de Avast lo descubrieron fue porque empezaron a recibir reportes de sus clientes diciendo que su antivirus había desaparecido o la carpeta estaba vacía en sus ordenadores. Así que comprobar si tu antivirus sigue activo es una forma de buscar rastros de Crackonosh.
Si notas que el ordenador va más lento de lo habitual y que tu factura de la luz ha subido, también son señales de que podrías tener un minero instalado en el ordenador.
¿Cómo eliminar Crackonosh?
Si ya eres víctima de Crackonosh, eliminar este malware no es tarea fácil, ya que tu antivirus o estará desactivado o habrá sido eliminado. Desde Avast nos dejan estos pasos para proceder a su eliminación:
- Borrar las siguientes Tareas Programadas (Programador de Tareas, lo encontraréis en Panel de control > Herramientas Administrativas):
- Microsoft\Windows\Maintenance\InstallWinSAT
- Microsoft\Windows\Application Experience\StartupCheckLibrary
- Microsoft\Windows\WDI\SrvHost\
- Microsoft\Windows\Wininet\Winlogui\
- Microsoft\Windows\Windows Error Reporting\winrmsrv\
- Borrar los siguientes archivos de c:\Windows\system32\:
- 7B296FC0-376B-497d-B013-58F4D9633A22-5P-1.B5841A4C-A289-439d-8115-50AB69CD450
- 7B296FC0-376B-497d-B013-58F4D9633A22-5P-1.B5841A4C-A289-439d-8115-50AB69CD450B
- diskdriver.exe
- maintenance.vbs
- serviceinstaller.exe
- serviceinstaller.msi
- startupcheck.vbs
- startupchecklibrary.dll
- windfn.exe
- winlogui.exe
- winrmsrv.exe
- winscomrssrv.dll
- wksprtcli.dll
- Borrar el siguiente archivo de C:\Documents and Settings\All Users\Local Settings\Application Data\Programs\Common (%localappdata%\Programs\Common):
- UserAccountControlSettingsDevice.dat
- Borrar el siguiente archivo de C:\Program Files\Windows Defender\
- MSASCuil.exe
- Borrar los siguientes registros de Claves de registro de Windows (usando regedit.exe):
- HKLM\SOFTWARE\Policies\Microsoft\Windows Defender value DisableAntiSpyware
- HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection value DisableBehaviorMonitoring
- HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection value DisableOnAccessProtection
- HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection value DisableScanOnRealtimeEnable
- HKLM\SOFTWARE\Microsoft\Security Center value AntiVirusDisableNotify
- HKLM\SOFTWARE\Microsoft\Security Center value FirewallDisableNotify
- HKLM\SOFTWARE\Microsoft\Security Center value UpdatesDisableNotify
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer value HideSCAHealth
- HKLM\SOFTWARE\Microsoft\Windows Defender\Reporting value DisableEnhancedNotifications
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run value winlogui
- Restaurar los siguientes servicios de Windows a su configuración de fábrica:
- Wuauserv
- SecurityHealthService
- WinDefend
- Sense
- MsMpSvc
- Reinstalar Windows Defender o cualquier otro antivirus que tuvieras instalado.