V Avastu objevili a popsali malware Crackonosh, který může pocházet z Česka a který skrze cracknuté warezové verze her těží kryptoměnu Monero. Celosvětově se mu podařilo infikovat přes 222 tisíc systémů včetně pěti tisíc z Česka. Krakonoš díky tomu od roku 2018 vytěžil více než dva miliony dolarů a je nadále aktivní.
Přibalovat těžbu krypta ke cracknutým hrám je poměrně chytrá taktika. Je ze totiž předpoklad, že uživatelé, kteří si instalují novou hru, mají obstojnou grafickou kartu vhodnou pro těžbu.
Autor technické analýzy Krakonoše Daniel Beneš z Avastu v rozhovoru pro Lupu popisuje například to, proč je útočník dobře schovaný či jak uživatelé při instalaci jednoduše odkliknou administrátorská práva. Krakonoš se díky tomu může maskovat, mazat antiviry nebo se vypínat při spuštění Správce úloh.
Je pravděpodobnost, že za Crackonoshem stojí někdo z Česka. Jaké k tomu vedou indicie?
Na toto nemohu odpovědět. Obecně se tyto věci zjišťují například tak, že v kódu najdeme poznámky v určitých jazycích. Případně najdeme adresu, na kterou se systém připojuje, a z toho lze uhodnout lokalitu. Když útočník používá nějaké služby, lze s nimi komunikovat a občas zjistit informace.
Krakonoš přes XMRig těží kryptoměnu Monero. Jak lze docílit toho, aby taková těžba probíhala nenápadně a uživatel na nic nepřišel?
V případě Krakonoše je to uděláno tak, že jakmile uživatel otevře aplikaci, která zjišťuje informace, například Správce úloh, program se hned vypne a čeká do dalšího restartu. Když tedy uživateli přijde, že se mu zasekává počítač, a chce zjistit, jaký program za to může, tak se to nedozví. U XMRigu se také dá nastavit, aby měl nižší vytížení a nezatěžoval počítač na sto procent. To u Krakonoše ale nastavené nebylo.
V analýze jste uvedl, že uživatelé warezu „nemohou dostat něco za nic“, v narážce na to, že Krakonoš svému provozovateli vytěžil Monero v hodnotě přes dva miliony dolarů. Jak je tato částka přesná?
Jde o informaci z poolů, kde se těžilo. A také z kryptopeněženek zakódovaných v malwaru. Je těžké odhadnout, zda tato částka pochází pouze od Krakonoše. Myslím si ale, že částka ve skutečnosti může být ještě větší. V malwaru jsou zakódované peněženky, ke kterým jsme se nedostali.
Kvůli čemu?
Jedinou šancí, jak získat tyto částky, je to, že pool sdílí informace, kolik peněz na danou peněženku poslal. Samotné Monero neumožňuje zjistit, kolik peněz kde je a kam jdou. Každý pool k tomu přistupuje jinak. Některé peněženky také byly zablokovány kvůli podezřelé aktivitě.
Krakonoš se brání tomu, aby byl odhalený. To znamená, že musí mít v rámci systému silná práva. Co všechno se při instalaci cracknuté hry musí odsouhlasit, aby si uživatel Krakonoše do PC nechal nasadit?
Více méně mu k tomu, aby se mohl nahrát tam, kam potřebuje, stačí administrátorský přístup. Tento přístup získá jednoduše tak, že většina uživatelů, když něco instaluje, tak práva odklikne.
O Krakonošovi jste se dozvěděli z Redditu, kde o problému referovali uživatelé. Vy jste nebyli schopní Krakonoše objevit z toho důvodu, že mazal Avast?
Ano. Když má člověk smazaný antivir, už od něj nedostaneme informace. Ale narazili jsme také na nepovedené instalace a v novějších verzích už nedocházelo k mazání Avastu. Případně jsme dokázali odchytit a smazat těžící část programu.
Cracknuté infikované hry se šíří čistě přes torrenty, nebo existují i jiné metody?
K žádné stránce, která by tyto hry nabízela, jsme se nedostali. Děje se to přes torrenty, a pokud nějaké stránky existují, nenašli jsme je.
Autor Krakonoše postupoval tak, že vzal hry, cracky od jiných warezových skupin, vše zamíchal a nahrál torrenty?
A vytvořil instalační program, a to přes nástroj Inno Setup. Toto instalační médium pak nainstalovalo i Krakonoše.
Desátou nejpoškozenější zemí bylo Česko, existuje přes pět tisíc obětí. Jak jste k těmto údajům došli?
Jde o údaje od uživatelů našich produktů. Zdroje stažení nevíme. Jak už jsem uvedl, torrenty jsme na stránkách nikde nenašli. I tak pro nás bylo složité se dozvědět o tom, že zdrojem nákazy byly instalace her.
Jak jste tady postupovali?
Začali jsme tím, co bylo napsané na fóru na Redditu, což byly poslední nainstalované programy. Postupně jsme se dostali ke skriptu, který zajišťoval spuštění až po devátém startu počítače. To bohužel zajistilo, že ze začátku nezbylo příliš mnoho informací. Díky jménu jedné úlohy jsme se dostali k odinstalačním logům programů, odkud jsme se dostali k Inno Setupu a dále.
Máte konečný seznam her, kde je Krakonoš přibalen?
Seznam asi kompletní nebude. Neuvedli jsme například hru Kingdom Come: Deliverance, na kterou jsme narazili až později. Zdá se, že zřejmě šlo o jednu z prvních infikovaných her už z roku 2018. Samozřejmě nikdy nemůžeme vědět o všem, internet je obrovský.
Zrovna Kingdom Come asi mohlo v Česku zafungovat jako zdroj nákazy.
Ano, to by mohlo být jedno z vysvětlení, proč v Česku bylo hodně nakažených.
Krakonoš je stále aktivní?
Šíří se dále. Cracknuté hry jsou nadále dostupné. Přibývá kolem 800 infikovaných uživatelů za den. Krakonoš také nadále těží.
Je ze strany útočníka potřeba k udržování Krakonoše nějaká údržba? Nebo stačilo rozšířit distribuci cracknutých her a pak už jen počítat přírůstky v peněženkách?
Autor vydává aktualizace, skrze updaty se stahují nové verze těžařského nástroje XMRig. Drobné úpravy lze vidět i v samotném malwaru.
Jak s tím jako poskytovatel antiviru můžete bojovat? Sice přidáte do databází signatury a podobně, ale když si uživatel odklikne, že chce cracknutou hru s malwarem nainstalovat, nic s tím asi nenaděláte.
Avast úplně bezbranný není. Na této funkci jsem nedělal a nejsem s ní tolik seznámený, ale Avast má schopnost určité aktivní obrany a bránění se smazání. Avast hlídá, kdy se volá práce se soubory ve složce.
Předávali jste informace o Krakonošovi policii?
Bohužel nemáme policii moc co předat. Nemáme žádnou zajímavou informaci, která by za to stála.
Takže je útočník dobře schovaný?
Povedlo se mu to. Jakmile se Krakonoš nainstaluje, autor se v podstatě nemusí bát. Zakáže aktualizace Windows, smaže Defender a antivirový program. Monero je nedohledatelné. Originální soubory, které se začaly šířit, nemáme a nemůžeme hledat, zda je útočník někde nahrává.
Tento útočník tedy neoperuje s C&C servery a podobně?
Má aktualizační server, který je umístěný asi někde v Dánsku. Což se neví, může se tak jen tvářit, je to jen naše myšlenka.
V kódu jste žádná vodítka v podobě poznámek a podobně nenašli?
Nic takového jsem tam nenašel a autor se tam nepodepsal.
Budete Krakonoše dále monitorovat?
Určitě se na něj budeme dále dívat a pozorovat, zda se neobjeví nové soubory, a budeme zkoušet získat další instalační balíky. Pokud se nám bude dařit uživatele před Krakonošem chránit, asi nebude třeba více na tom pracovat.
Pozorujete trend, že by virů ve stylu Krakonoše bylo více?
Nepozoruji. Ale Monero je u těžařských malwarů poměrně dost oblíbené. Bude to jeho anonymitou a tím, že šlo na běžných počítačích ještě nějak rozumně těžit.
