بدافزار FakeCrack

مجرمان سایبری زیرساختی در مقیاس بزرگ با هدف ارائه بدافزار سرقت اطلاعات و سرقت رمزنگاری به قربانیان خود ایجاد کرده اند. تهدیدات بدافزار به عنوان نسخه های کرک شده محصولات نرم افزاری قانونی، بازی های ویدیویی و سایر برنامه های دارای مجوز به کاربران ارائه می شوند. برای یافتن این نسخه های کرک شده، کاربران به وب سایت های مشکوک مختلفی مراجعه می کنند. با این حال، اپراتورهای این کمپین از تکنیک‌های سئو سیاه نیز استفاده کرده‌اند تا وب‌سایت‌های خراب آنها در بین نتایج برتر ارائه‌شده توسط موتورهای جستجو ظاهر شوند.

جزئیات مربوط به کمپین و بدافزار ارائه شده توسط آن در گزارشی توسط کارشناسان امنیت سایبری که تحت نام FakeCrack ردیابی می‌کنند، فاش شد. بر اساس یافته های آنها، اهداف این عملیات مضر بیشتر در برزیل، هند، اندونزی و فرانسه بوده است. علاوه بر این، آنها معتقدند که مجرمان سایبری پشت FakeCrack تاکنون موفق شده اند بیش از 50000 دلار دارایی رمزنگاری شده را از قربانیان خود خارج کنند.

بدافزار ارائه شده در کمپین FakeCrack در قالب فایل های ZIP به ماشین های قربانیان می رسد. بایگانی‌ها با یک رمز عبور معمولی یا ساده مانند 1234 رمزگذاری می‌شوند، اما همچنان به اندازه کافی کارآمد است تا از تجزیه و تحلیل محتوای فایل توسط راه‌حل‌های ضد بدافزار جلوگیری کند. هنگامی که باز می شود، کاربران احتمالاً یک فایل واحد به نام "setup.exe" یا "cracksetuo.exe" را در بایگانی پیدا می کنند.

پس از فعال شدن فایل، بدافزار را روی سیستم اجرا می کند. اولین مرحله از تهدیدات حذف شده به عنوان بخشی از FakeCrack، اسکن رایانه شخصی قربانی و جمع‌آوری اطلاعات خصوصی از جمله اعتبار حساب، داده‌های کارت اعتباری/دبیت و جزئیات از چندین برنامه کیف پول دیجیتال است. تمام اطلاعات استخراج شده در یک فایل ZIP رمزگذاری شده بسته بندی شده و به سرورهای Command-and-Control (C2, C&C) عملیات استخراج می شود. محققان دریافتند که کلیدهای رمزگشایی فایل های آپلود شده در آنها کدگذاری شده است که دسترسی به محتوای داخل آنها را بسیار آسان تر می کند.

تهدیدات بدافزار FakeCrack دو تکنیک جالب را به نمایش گذاشت. اول، آنها یک اسکریپت نسبتاً بزرگ اما به شدت مبهم روی سیستم های آلوده انداختند. وظیفه اصلی این اسکریپت نظارت بر کلیپ بورد است. پس از شناسایی آدرس کیف پول رمزنگاری مناسب ذخیره شده در کلیپ بورد، بدافزار آن را با آدرس کیف پولی که توسط هکرها کنترل می شود جایگزین می کند. پس از سه تغییر موفقیت آمیز، اسکریپت حذف خواهد شد.

تکنیک دوم شامل تنظیم یک آدرس IP است که یک اسکریپت PAC (پیکربندی خودکار پروکسی) خراب را دانلود می کند. هنگامی که قربانیان سعی می کنند از هر یک از دامنه های هدف بازدید کنند، ترافیک آنها به یک سرور پروکسی که توسط مجرمان سایبری کنترل می شود هدایت می شود. این تکنیک در مورد دزدان رمزنگاری نسبتاً غیرمعمول است، اما به هکرها این امکان را می‌دهد تا ترافیک قربانیان خود را در مدت زمان طولانی مشاهده کنند، با کمترین احتمال توجه.