Programari maliciós FakeCrack
Els ciberdelinqüents han establert una infraestructura a gran escala amb l'objectiu de lliurar a les seves víctimes programari maliciós de robatori d'informació i robatori de criptografia. Les amenaces de programari maliciós es presenten als usuaris com a versions trencades de productes de programari legítims, videojocs i altres aplicacions amb llicència. Per trobar aquestes versions trencades, els usuaris visiten diversos llocs web dubtosos. Tanmateix, els operadors d'aquesta campanya també han utilitzat tècniques de Black SEO perquè els seus llocs web corruptes apareguin entre els millors resultats que ofereixen els motors de cerca.
Els detalls sobre la campanya i el programari maliciós que ofereix es van revelar en un informe dels experts en ciberseguretat, que fan un seguiment amb el nom de FakeCrack. Segons les seves troballes, els objectius de l'operació nociva es van localitzar majoritàriament al Brasil, l'Índia, Indonèsia i França. A més, creuen que els ciberdelinqüents que hi ha darrere de FakeCrack han aconseguit fins ara treure més de 50.000 dòlars en actius criptogràfics de les seves víctimes.
El programari maliciós lliurat a la campanya FakeCrack arriba a les màquines de les víctimes en forma de fitxers ZIP. Els arxius estan xifrats amb una contrasenya comuna o senzilla, com ara 1234, però encara és prou eficient per evitar que les solucions anti-malware analitzin el contingut del fitxer. Quan s'obre, és probable que els usuaris trobin un únic fitxer anomenat "setup.exe" o "cracksetuo.exe" dins de l'arxiu.
Un cop activat el fitxer, executarà el programari maliciós al sistema. El primer pas de les amenaces abandonades com a part de FakeCrack és escanejar l'ordinador de la víctima i recollir informació privada, incloses les credencials del compte, les dades de la targeta de crèdit/dèbit i els detalls de diverses aplicacions de criptomoneda. Tota la informació extreta s'empaqueta dins d'un fitxer ZIP xifrat i s'exfiltra als servidors de comandament i control (C2, C&C) de l'operació. Els investigadors van descobrir que les claus de desxifrat dels fitxers penjats s'hi codificaven, la qual cosa facilita l'accés al contingut que hi ha al seu interior.
Les amenaces de programari maliciós FakeCrack van mostrar dues tècniques interessants. Primer, van deixar caure un script bastant gran però molt ofuscat als sistemes infectats. La funció principal d'aquest script és supervisar el porta-retalls. En detectar una adreça de criptomoneda adequada desada al porta-retalls, el programari maliciós la substituirà per l'adreça d'una cartera controlada pels pirates informàtics. Després de tres canvis correctes, l'script se suprimirà.
La segona tècnica consisteix a configurar una adreça IP que descarregui un script PAC (Configuració automàtica de proxy) danyat. Quan les víctimes intenten visitar qualsevol dels dominis objectiu, el seu trànsit es redirigiria a un servidor intermediari controlat pels ciberdelinqüents. Aquesta tècnica és bastant inusual quan es tracta de cripto-lladres, però permet als pirates informàtics observar el trànsit de les seves víctimes durant períodes prolongats, amb possibilitats mínimes de ser notats.
