挖礦軟體藏身免費版PC遊戲軟體入侵用戶電腦

寶妹

遊戲玩家注意，安全研究人員發現一隻挖礦軟體藉由多款貌似免費版的PC遊戲軟體散布，以便利用用戶電腦資源挖加密貨幣。

起因是Avast發現去年有用戶在Reddit反映，電腦上的Avast防毒軟體資料夾被清空，促使這家廠商調查。結果發現是使用者透過Torrent網站下載的免費版PC遊戲軟體肇禍；這些PC遊戲軟體內藏惡意軟體，研究人員將這隻惡意程式稱作Crackonosh，因為他們判斷作者可能來自捷克。它主要目的是利用用戶電腦資源挖礦，而且具備關閉防毒軟體等反偵測能力。

Crackonosh經由Torrent網站、論壇或非官方軟體平臺網站散布，研究人員找到至少有11款遊戲軟體被注入安裝器，包括《NBA 2K19》、《侏羅紀世界：進化Jurassic World Evolution》、《俠盜獵車手VGrand Theft Auto V》、《極地戰嚎Far Cry 5》、《模擬市民 The Sims 4》、《異塵餘生Fallout 4》、《KU娛樂》。

惡意程式作者在盜版軟體中植入Crackonosh的安裝器，等用戶下載到電腦安裝後，即展開釋出挖礦軟體的過程。這個安裝器迫使電腦多次重開機，使電腦進入安全模式。由於在安全模式下防毒軟體無法執行，它會藉此關閉刪除防毒軟體、同時關閉Windows Security。另外它也會刪除serviceinstaller.msi和maintenance.vbs以掩飾活動紀錄。Cracknosh最終目標是挖礦，最終安裝的專門挖門羅幣（Monero，XMR）的軟體XMRing。

分析Crackonosh的核心執行檔，研究人員研判它從2018年1月31第一代開始日，到2020年11月23日，已演化出至少30個版本。

研究人員分析Cracknosh有能力關閉的防毒軟體，還包括Adaware、Bitdefender、Escan、F-secure、Kaspersky、McAfee、Norton、Panda。

研究人員從去年12月7日起開始追溯，當時Crackonosh感染了1.5萬臺裝置，直到5月每天都還平均感染數千臺裝置。主要受害者集中在北美（包括阿拉斯加）、巴西、印度、菲律賓及德國。研究人員告訴CNBC，巴西、印度及菲律賓是災情最重的地區。將近6個月中，共有22萬臺Windows PC感染了Crackonosh。根據研究人員找到的門羅幣電子錢包計算，駭客已挖了9000個門羅幣，價值約200萬美元。

研究人員呼籲用戶不要貪小便宜，從不知名或陌生的網站下載可以不需付費的軟體，以便受害。