Threat Database Malware FakeCrack Malware

FakeCrack Malware

Kyberzločinci vytvořili rozsáhlou infrastrukturu s cílem doručit svým obětem malware pro krádeže informací a kryptokradení. Malwarové hrozby jsou uživatelům prezentovány jako cracknuté verze legitimních softwarových produktů, videoher a dalších licencovaných aplikací. Aby uživatelé našli tyto cracknuté verze, navštěvují různé pochybné webové stránky. Provozovatelé této kampaně však také využili techniky Black SEO, aby se jejich poškozené webové stránky objevily mezi nejlepšími výsledky poskytovanými vyhledávači.

Podrobnosti o kampani a malwaru, který přináší, odhalila zpráva expertů na kybernetickou bezpečnost, kteří sledují pod názvem FakeCrack. Podle jejich zjištění se cíle škodlivé operace většinou nacházely v Brazílii, Indii, Indonésii a Francii. Kromě toho se domnívají, že kyberzločincům, kteří stojí za FakeCrack, se zatím podařilo od svých obětí vysát přes 50 000 dolarů v krypto aktivech.

Malware dodaný v kampani FakeCrack dorazí na stroje obětí ve formě souborů ZIP. Archivy jsou zašifrovány běžným nebo jednoduchým heslem, jako je 1234, ale stále je dostatečně účinné, aby zabránila antimalwarovým řešením analyzovat obsah souboru. Po otevření uživatelé pravděpodobně najdou v archivu jeden soubor s názvem 'setup.exe' nebo 'cracksetuo.exe'.

Jakmile je soubor aktivován, spustí malware v systému. Prvním krokem hrozeb upuštěných v rámci FakeCrack je skenování PC oběti a shromažďování soukromých informací, včetně přihlašovacích údajů k účtu, údajů o kreditních/debetních kartách a podrobností z několika aplikací pro kryptopeněženky. Všechny extrahované informace jsou zabaleny v zašifrovaném souboru ZIP a exfiltrovány na servery Command-and-Control (C2, C&C) operace. Výzkumníci zjistili, že dešifrovací klíče pro nahrané soubory jsou v nich pevně zakódovány, což výrazně usnadňuje přístup k obsahu v nich.

Malwarové hrozby FakeCrack ukázaly dvě zajímavé techniky. Nejprve na infikované systémy upustili poměrně velký, ale silně zatemněný skript. Hlavní funkcí tohoto skriptu je sledování schránky. Po zjištění vhodné adresy kryptopeněženky uložené ve schránce ji malware nahradí adresou peněženky ovládané hackery. Po třech úspěšných změnách bude skript smazán.

Druhá technika zahrnuje nastavení IP adresy, která stáhne poškozený skript PAC (Proxy Auto-Configuration). Když se oběti pokusí navštívit kteroukoli z cílových domén, jejich provoz bude přesměrován na proxy server kontrolovaný kyberzločinci. Tato technika je poměrně neobvyklá, pokud jde o zloděje kryptoměn, ale umožňuje hackerům dlouhodobě sledovat provoz svých obětí s minimální šancí, že si toho všimnou.

Trendy

Nejvíce shlédnuto

Načítání...