FakeCrack Malware

Cyberkriminelle har etableret en storstilet infrastruktur med det mål at levere informations- og kryptostjælende malware til deres ofre. Malwaretruslerne præsenteres for brugerne som crackede versioner af legitime softwareprodukter, videospil og andre licenserede applikationer. For at finde disse crackede versioner besøger brugere forskellige tvivlsomme websteder. Operatørerne af denne kampagne har dog også brugt sorte SEO-teknikker, så deres korrupte hjemmesider vises blandt de bedste resultater leveret af søgemaskiner.

Detaljer om kampagnen og den malware, den leverer, blev afsløret i en rapport fra cybersikkerhedseksperter, som sporer under navnet FakeCrack. Ifølge deres resultater var målene for den skadelige operation for det meste lokaliseret i Brasilien, Indien, Indonesien og Frankrig. Derudover mener de, at cyberkriminelle bag FakeCrack indtil videre har formået at suge over 50.000 dollars i kryptoaktiver fra deres ofre.

Malwaren leveret i FakeCrack-kampagnen ankommer til ofrenes maskiner i form af ZIP-filer. Arkiverne er krypteret med en fælles eller simpel adgangskode, såsom 1234, men det er stadig effektivt nok til at forhindre anti-malware-løsninger i at analysere indholdet af filen. Når den åbnes, vil brugerne sandsynligvis finde en enkelt fil med navnet 'setup.exe' eller 'cracksetuo.exe' inde i arkivet.

Når filen er aktiveret, vil den udføre malwaren på systemet. Det første trin i de trusler, der blev droppet som en del af FakeCrack, er at scanne ofrets pc og indsamle private oplysninger, herunder kontooplysninger, kredit-/betalingskortdata og detaljer fra flere krypto-wallet-applikationer. Al udtrukket information pakkes inde i en krypteret ZIP-fil og eksfiltreres til operationens Command-and-Control-servere (C2, C&C). Forskerne opdagede, at dekrypteringsnøglerne til de uploadede filer er hårdkodet ind i dem, hvilket gør det meget nemmere at få adgang til indholdet i dem.

FakeCrack-malwaretruslerne udviste to interessante teknikker. For det første tabte de et ret stort, men stærkt sløret script på de inficerede systemer. Hovedfunktionen af dette script er at overvåge udklipsholderen. Efter at have fundet en passende krypto-wallet-adresse, der er gemt i udklipsholderen, vil malware erstatte den med adressen på en tegnebog, der kontrolleres af hackerne. Efter tre vellykkede ændringer vil scriptet blive slettet.

Den anden teknik involverer opsætning af en IP-adresse, der downloader et beskadiget PAC (Proxy Auto-Configuration) script. Når ofre forsøger at besøge et af de målrettede domæner, vil deres trafik blive omdirigeret til en proxyserver, der kontrolleres af cyberkriminelle. Denne teknik er ret usædvanlig, når det kommer til krypto-tyvere, men den giver hackerne mulighed for at observere trafikken af deres ofre over længere perioder med minimale chancer for at blive bemærket.