FakeCrack البرامج الضارة
أنشأ مجرمو الإنترنت بنية تحتية واسعة النطاق بهدف تقديم برامج ضارة لسرقة المعلومات وسرقة التشفير لضحاياهم. يتم تقديم تهديدات البرامج الضارة للمستخدمين كنسخ متصدعة من منتجات البرامج المشروعة وألعاب الفيديو والتطبيقات المرخصة الأخرى. للعثور على هذه الإصدارات المتصدعة ، يقوم المستخدمون بزيارة العديد من مواقع الويب المشبوهة. ومع ذلك ، فقد استخدم مشغلو هذه الحملة أيضًا تقنيات Black SEO بحيث تظهر مواقعهم التالفة ضمن أفضل النتائج التي تقدمها محركات البحث.
تم الكشف عن تفاصيل حول الحملة والبرامج الضارة التي تقدمها في تقرير صادر عن خبراء الأمن السيبراني ، الذين يتتبعون تحت اسم FakeCrack. وفقًا لنتائجهم ، كانت أهداف العملية الضارة تقع في الغالب في البرازيل والهند وإندونيسيا وفرنسا. بالإضافة إلى ذلك ، يعتقدون أن مجرمي الإنترنت الذين يقفون وراء FakeCrack قد تمكنوا حتى الآن من سرقة أكثر من 50 ألف دولار من أصول التشفير من ضحاياهم.
تصل البرامج الضارة التي تم تسليمها في حملة FakeCrack إلى أجهزة الضحايا في شكل ملفات مضغوطة. يتم تشفير الأرشيفات بكلمة مرور عامة أو بسيطة ، مثل 1234 لكنها لا تزال فعالة بما يكفي لمنع حلول مكافحة البرامج الضارة من تحليل محتويات الملف. عند الفتح ، من المرجح أن يجد المستخدمون ملفًا واحدًا باسم "setup.exe" أو "cracksetuo.exe" داخل الأرشيف.
بمجرد تنشيط الملف ، سيقوم بتنفيذ البرامج الضارة على النظام. تتمثل الخطوة الأولى للتهديدات التي تم إسقاطها كجزء من FakeCrack في فحص جهاز الكمبيوتر الخاص بالضحية وجمع المعلومات الخاصة ، بما في ذلك بيانات اعتماد الحساب وبيانات بطاقة الائتمان / الخصم والتفاصيل من العديد من تطبيقات المحفظة المشفرة. يتم حزم جميع المعلومات المستخرجة داخل ملف ZIP مشفر ويتم إخراجها إلى خوادم الأوامر والتحكم (C2 ، C&C) للعملية. اكتشف الباحثون أن مفاتيح فك التشفير للملفات التي تم تحميلها مضمنة فيها ، مما يجعل الوصول إلى المحتوى الموجود بداخلها أسهل بكثير.
عرضت تهديدات البرامج الضارة لـ FakeCrack تقنيتين مثيرتين للاهتمام. أولاً ، أسقطوا نصًا كبيرًا إلى حد ما ولكنه غامض للغاية على الأنظمة المصابة. الوظيفة الرئيسية لهذا البرنامج النصي هي مراقبة الحافظة. عند اكتشاف عنوان محفظة تشفير مناسب محفوظ في الحافظة ، ستستبدله البرامج الضارة بعنوان محفظة يتحكم فيها المتسللون. بعد ثلاثة تغييرات ناجحة ، سيتم حذف البرنامج النصي.
تتضمن التقنية الثانية إعداد عنوان IP يقوم بتنزيل برنامج نصي تالف لـ PAC (تكوين تلقائي للوكيل). عندما يحاول الضحايا زيارة أي من المجالات المستهدفة ، سيتم إعادة توجيه حركة المرور الخاصة بهم إلى خادم وكيل يتحكم فيه مجرمو الإنترنت. هذه التقنية غير معتادة إلى حد ما عندما يتعلق الأمر بسرقة العملات المشفرة ، لكنها تسمح للمتسللين بمراقبة حركة ضحاياهم على مدى فترات طويلة ، مع الحد الأدنى من فرص أن يتم ملاحظتهم.
