A empresa de cibersegurança Avast publicou na quinta-feira (24) um estudo que detalha como atua o “Cracknosh”, um vírus que já infectou computadores de mais de 220 mil pessoas ao redor do mundo. O alvo principal são os jogadores que baixam a versão crackeada de jogos populares como GTA, The Sims 4 e NBA 2K19.
A ameaça foi identificada como uma espécie de cryptojacking, um vírus que infecta uma máquina para minerar criptomoedas sem o consentimento do usuário, direcionando o lucro da mineração para a carteira do hacker. O Cracknosh é utilizado para minerar Monero (XMR), a criptomoeda de privacidade mais popular do setor.
A estimativa é que os invasores já lucraram cerca de US$ 2 milhões em XMR desde 2018, quando o vírus surgiu pela primeira vez. O valores podem ser ainda maiores, já a investigação só conseguiu encontrar as estatísticas de uma carteira entre as várias utilizadas nessa ofensiva.
Apesar de já estar na ativa há três anos com 30 versões diferentes, o malware disparou no final do ano passado e atualmente, a média é que mil computadores sejam infectados todos os dias. O Brasil está no topo dos países mais atingidos pelo vírus, ao lado da Índia e Filipinas.
Desde que surgiu o Crackonosh começou a circular, já foram identificadas outras 30 versões diferentes do mesmo malware. Além dos jogos citados anteriormente, a Avast também encontrou o malware em versões crackeadas de Far Cry 5, Euro Truck Simulator 2, Jurassic World Evolution, Fallout 4 GOTY, Call of Cthulhu, Pro Evolution Soccer 2018 e We Happy Few.
O vírus vem escondido entre arquivos torrent de jogos piratas. Quando o usuário inicia a instalação do jogo, ele é orientado a colocar o sistema Windows no modo de segurança, permitindo que o arquivo malicioso seja executado.
Em seguida, o vírus consegue excluir com facilidade o Windows Defender e instalar na máquina uma versão falsa que apenas adiciona o ícone de segurança do Windows na bandeja do sistema para enganar o usuário.
O malware também procura e exclui os arquivos de qualquer antivírus presente no computador. Com o caminho livre, é instalado o software de mineração XMRig, que começa a rodar de forma oculta toda vez que a máquina é ligada.
Além disso, a ameaça instala uma série de outras ferramentas para manter o vírus atualizado e garantir que o jogador não note que o computador está infectado. “O Winrmsrv.exe, por exemplo, é responsável pela conexão P2P das máquinas infectadas. Ele troca informações e é capaz de baixar versões mais recentes do Crackonosh”, explica o relatório.
Com boa parte do poder computacional sendo direcionado para a mineração de Monero, o PC fica lento, trava e consome um nível de energia muito maior que o normal. O vírus, no entanto, conta com uma série de disfarces que ocultam a sua presença.
Caso o usuário consiga detectar o malware, ele deve excluir uma lista de arquivos e instalar novamente algumas ferramentas padrão do Windows. O ponto principal é garantir que o Windows Defender e qualquer software de segurança esteja operando na máquina.
“A principal conclusão disso é que você realmente não consegue algo de graça e, quando você tenta roubar um software, é provável que alguém esteja tentando roubar de você”, alerta os pesquisadores.