Κακόβουλο λογισμικό FakeCrack
Οι εγκληματίες του κυβερνοχώρου έχουν δημιουργήσει μια υποδομή μεγάλης κλίμακας με στόχο την παροχή κακόβουλου λογισμικού κλοπής πληροφοριών και κρυπτοκλοπής στα θύματά τους. Οι απειλές κακόβουλου λογισμικού παρουσιάζονται στους χρήστες ως σπασμένες εκδόσεις νόμιμων προϊόντων λογισμικού, βιντεοπαιχνιδιών και άλλων εφαρμογών με άδεια χρήσης. Για να βρουν αυτές τις σπασμένες εκδόσεις, οι χρήστες επισκέπτονται διάφορες αμφίβολες ιστοσελίδες. Ωστόσο, οι χειριστές αυτής της καμπάνιας έχουν επίσης χρησιμοποιήσει τεχνικές Black SEO, έτσι ώστε οι κατεστραμμένοι ιστότοποί τους να εμφανίζονται μεταξύ των κορυφαίων αποτελεσμάτων που παρέχονται από τις μηχανές αναζήτησης.
Λεπτομέρειες σχετικά με την καμπάνια και το κακόβουλο λογισμικό που παρέχει αποκαλύφθηκαν σε μια αναφορά των ειδικών στον τομέα της κυβερνοασφάλειας, οι οποίοι παρακολουθούν με το όνομα FakeCrack. Σύμφωνα με τα ευρήματά τους, οι στόχοι της επιβλαβούς επιχείρησης εντοπίστηκαν κυρίως στη Βραζιλία, την Ινδία, την Ινδονησία και τη Γαλλία. Επιπλέον, πιστεύουν ότι οι κυβερνοεγκληματίες πίσω από το FakeCrack έχουν καταφέρει μέχρι στιγμής να αποσπάσουν περισσότερα από 50.000 δολάρια σε κρυπτογραφικά στοιχεία από τα θύματά τους.
Το κακόβουλο λογισμικό που παραδίδεται στην καμπάνια FakeCrack φτάνει στους υπολογιστές των θυμάτων με τη μορφή αρχείων ZIP. Τα αρχεία είναι κρυπτογραφημένα με έναν κοινό ή απλό κωδικό πρόσβασης, όπως το 1234, αλλά εξακολουθεί να είναι αρκετά αποτελεσματικό ώστε να εμποδίζει τις λύσεις κατά του κακόβουλου λογισμικού να αναλύουν τα περιεχόμενα του αρχείου. Όταν ανοίξει, οι χρήστες είναι πιθανό να βρουν ένα μεμονωμένο αρχείο με το όνομα «setup.exe» ή «cracksetuo.exe» μέσα στο αρχείο.
Μόλις ενεργοποιηθεί το αρχείο, θα εκτελέσει το κακόβουλο λογισμικό στο σύστημα. Το πρώτο βήμα των απειλών που απορρίφθηκαν ως μέρος του FakeCrack είναι η σάρωση του υπολογιστή του θύματος και η συλλογή προσωπικών πληροφοριών, συμπεριλαμβανομένων των διαπιστευτηρίων λογαριασμού, δεδομένων πιστωτικής/χρεωστικής κάρτας και στοιχείων από διάφορες εφαρμογές κρυπτογραφικού πορτοφολιού. Όλες οι πληροφορίες που εξάγονται συσκευάζονται σε ένα κρυπτογραφημένο αρχείο ZIP και διεκπεραιώνονται στους διακομιστές Command-and-Control (C2, C&C) της λειτουργίας. Οι ερευνητές ανακάλυψαν ότι τα κλειδιά αποκρυπτογράφησης για τα μεταφορτωμένα αρχεία είναι κωδικοποιημένα σε αυτά, γεγονός που καθιστά την πρόσβαση στο περιεχόμενο μέσα σε αυτά πολύ πιο εύκολη.
Οι απειλές κακόβουλου λογισμικού FakeCrack παρουσίασαν δύο ενδιαφέρουσες τεχνικές. Πρώτον, έριξαν ένα αρκετά μεγάλο αλλά πολύ ασαφές σενάριο στα μολυσμένα συστήματα. Η κύρια λειτουργία αυτού του σεναρίου είναι να παρακολουθεί το πρόχειρο. Μόλις εντοπίσει μια κατάλληλη διεύθυνση κρυπτογραφικού πορτοφολιού που είναι αποθηκευμένη στο πρόχειρο, το κακόβουλο λογισμικό θα την αντικαταστήσει με τη διεύθυνση ενός πορτοφολιού που ελέγχεται από τους χάκερ. Μετά από τρεις επιτυχημένες αλλαγές, το σενάριο θα διαγραφεί.
Η δεύτερη τεχνική περιλαμβάνει τη ρύθμιση μιας διεύθυνσης IP που κατεβάζει ένα κατεστραμμένο σενάριο PAC (Auto-Configuration Proxy). Όταν τα θύματα προσπαθούν να επισκεφθούν οποιονδήποτε από τους στοχευμένους τομείς, η επισκεψιμότητά τους θα ανακατευθυνθεί σε διακομιστή μεσολάβησης που ελέγχεται από τους εγκληματίες του κυβερνοχώρου. Αυτή η τεχνική είναι αρκετά ασυνήθιστη όταν πρόκειται για κρυπτοκλέφτες, αλλά επιτρέπει στους χάκερ να παρατηρούν την κίνηση των θυμάτων τους για παρατεταμένες περιόδους, με ελάχιστες πιθανότητες να γίνουν αντιληπτοί.
