Зловреден софтуер FakeCrack

Киберпрестъпниците са създали широкомащабна инфраструктура с цел да доставят злонамерен софтуер за кражба на информация и крипто на своите жертви. Заплахите от злонамерен софтуер се представят на потребителите като кракнати версии на легитимни софтуерни продукти, видеоигри и други лицензирани приложения. За да намерят тези кракнати версии, потребителите посещават различни съмнителни уебсайтове. Въпреки това, операторите на тази кампания също са използвали Black SEO техники, така че техните повредени уебсайтове да се показват сред най-добрите резултати, предоставяни от търсачките.

Подробности за кампанията и зловредния софтуер, който доставя, бяха разкрити в доклад на експертите по киберсигурност, които проследяват под името FakeCrack. Според техните констатации, целите на опасната операция са били разположени предимно в Бразилия, Индия, Индонезия и Франция. Освен това те вярват, че киберпрестъпниците зад FakeCrack досега са успели да изсмукнат над $50 000 крипто активи от своите жертви.

Зловредният софтуер, доставен в кампанията FakeCrack, пристига на машините на жертвите под формата на ZIP файлове. Архивите са криптирани с обща или проста парола, като 1234, но тя все още е достатъчно ефективна, за да попречи на решенията за защита от злонамерен софтуер да анализират съдържанието на файла. Когато се отворят, потребителите вероятно ще намерят един файл с име 'setup.exe' или 'cracksetuo.exe' вътре в архива.

След като файлът бъде активиран, той ще изпълни зловредния софтуер в системата. Първата стъпка от заплахите, отпаднали като част от FakeCrack, е сканиране на компютъра на жертвата и събиране на лична информация, включително идентификационни данни за акаунта, данни за кредитна/дебитна карта и подробности от няколко приложения за крипто портфейл. Цялата извлечена информация се пакетира в криптиран ZIP файл и се ексфилтрира към сървърите за командване и управление (C2, C&C) на операцията. Изследователите откриха, че ключовете за декриптиране на качените файлове са твърдо кодирани в тях, което прави достъпа до съдържанието в тях много по-лесен.

Заплахите от злонамерен софтуер FakeCrack показаха две интересни техники. Първо, те пуснаха доста голям, но силно обфуциран скрипт върху заразените системи. Основната функция на този скрипт е да наблюдава клипборда. При откриване на подходящ адрес на крипто портфейл, записан в клипборда, зловредният софтуер ще го замени с адреса на портфейл, контролиран от хакерите. След три успешни промени, скриптът ще бъде изтрит.

Втората техника включва настройка на IP адрес, който изтегля повреден PAC (Прокси автоматична конфигурация) скрипт. Когато жертвите се опитат да посетят някой от целевите домейни, техният трафик ще бъде пренасочен към прокси сървър, контролиран от киберпрестъпниците. Тази техника е доста необичайна, когато става дума за крадци на криптовалути, но позволява на хакерите да наблюдават трафика на жертвите си за продължителни периоди, с минимални шансове да бъдат забелязани.