Threat Database Malware FakeCracki pahavara

FakeCracki pahavara

Küberkurjategijad on loonud laiaulatusliku infrastruktuuri eesmärgiga toimetada oma ohvritele info- ja krüptovarastavat pahavara. Pahavaraohte esitatakse kasutajatele seaduslike tarkvaratoodete, videomängude ja muude litsentsitud rakenduste krakitud versioonidena. Nende krakitud versioonide leidmiseks külastavad kasutajad erinevaid kahtlaseid veebisaite. Selle kampaania operaatorid on aga kasutanud ka musta SEO tehnikat, nii et nende rikutud veebisaidid ilmuvad otsingumootorite parimate tulemuste hulka.

Üksikasjad kampaania ja selle pakutava pahavara kohta selgusid FakeCracki nime all jälgivate küberjulgeolekuekspertide raportist. Nende leidude kohaselt asusid kahjuliku operatsiooni sihtmärgid enamasti Brasiilias, Indias, Indoneesias ja Prantsusmaal. Lisaks usuvad nad, et FakeCracki taga olevad küberkurjategijad on seni suutnud oma ohvritelt krüptovarasid välja hankida üle 50 000 dollari.

FakeCracki kampaania raames tarnitud pahavara jõuab ohvrite masinatesse ZIP-failidena. Arhiivid on krüpteeritud tavalise või lihtsa parooliga, näiteks 1234, kuid see on siiski piisavalt tõhus, et takistada pahavaratõrjelahendustel faili sisu analüüsimast. Avamisel leiavad kasutajad tõenäoliselt arhiivist ühe faili nimega 'setup.exe' või 'cracksetuo.exe'.

Kui fail on aktiveeritud, käivitab see süsteemis pahavara. FakeCracki osana kaotatud ohtude esimene samm on ohvri arvuti skannimine ja privaatsete andmete kogumine, sealhulgas konto mandaadid, krediit-/deebetkaardi andmed ja mitme krüptorahakoti rakenduse üksikasjad. Kogu ekstraheeritud teave pakitakse krüptitud ZIP-faili ja eksfiltreeritakse operatsiooni Command-and-Control (C2, C&C) serveritesse. Teadlased avastasid, et üleslaaditud failide dekrüpteerimisvõtmed on neisse kõvasti kodeeritud, mis muudab nende sees olevale sisule juurdepääsu palju lihtsamaks.

FakeCracki pahavara ohud näitasid kahte huvitavat tehnikat. Esiteks viskasid nad nakatunud süsteemidele üsna suure, kuid tugevalt segatud skripti. Selle skripti põhifunktsioon on lõikepuhvri jälgimine. Lõikepuhvrisse salvestatud sobiva krüptorahakoti aadressi tuvastamisel asendab pahavara selle häkkerite kontrollitud rahakoti aadressiga. Pärast kolme edukat muutmist skript kustutatakse.

Teine meetod hõlmab IP-aadressi seadistamist, mis laadib alla rikutud PAC (puhverserveri automaatse konfiguratsiooni) skripti. Kui ohvrid proovivad mõnda sihitud domeeni külastada, suunatakse nende liiklus ümber küberkurjategijate kontrollitavasse puhverserverisse. See tehnika on krüptovaraste puhul üsna ebatavaline, kuid see võimaldab häkkeritel jälgida oma ohvrite liiklust pikema aja jooksul, minimaalse tõenäosusega, et neid märgatakse.

Trendikas

Enim vaadatud

Laadimine...