Threat Database Malware FakeCrack-haittaohjelma

FakeCrack-haittaohjelma

Kyberrikolliset ovat perustaneet laajamittaisen infrastruktuurin, jonka tavoitteena on toimittaa tietovarastajia ja kryptovarastavia haittaohjelmia uhreilleen. Haittaohjelmauhat esitetään käyttäjille laillisten ohjelmistotuotteiden, videopelien ja muiden lisensoitujen sovellusten krakattuina versioina. Löytääkseen nämä krakatut versiot käyttäjät vierailevat useilla kyseenalaisilla verkkosivustoilla. Tämän kampanjan operaattorit ovat kuitenkin myös hyödyntäneet Black SEO -tekniikoita, jotta heidän vioittuneet verkkosivustonsa näkyvät hakukoneiden toimittamien huipputulosten joukossa.

Yksityiskohdat kampanjasta ja sen tarjoamista haittaohjelmista paljastettiin FakeCrack-nimellä jäljittävien kyberturvallisuusasiantuntijoiden raportissa. Haitallisen operaation kohteet olivat heidän havaintojensa mukaan pääosin Brasiliassa, Intiassa, Indonesiassa ja Ranskassa. Lisäksi he uskovat, että FakeCrackin takana olevat kyberrikolliset ovat tähän mennessä onnistuneet saamaan uhreilta yli 50 000 dollaria kryptoomaisuutta.

FakeCrack-kampanjassa toimitetut haittaohjelmat saapuvat uhrien koneille ZIP-tiedostoina. Arkistot on salattu yleisellä tai yksinkertaisella salasanalla, kuten 1234, mutta se on silti riittävän tehokas estämään haittaohjelmien torjuntaratkaisuja analysoimasta tiedoston sisältöä. Avattuna käyttäjät löytävät todennäköisesti yhden tiedoston nimeltä "setup.exe" tai "cracksetuo.exe" arkistosta.

Kun tiedosto on aktivoitu, se suorittaa haittaohjelman järjestelmässä. FakeCrackin osana hylättyjen uhkien ensimmäinen vaihe on skannata uhrin tietokone ja kerätä henkilökohtaisia tietoja, mukaan lukien tilitiedot, luotto-/pankkikorttitiedot ja tiedot useista kryptolompakkosovelluksesta. Kaikki poimitut tiedot pakataan salattuun ZIP-tiedostoon ja suodatetaan operaation Command-and-Control (C2, C&C) palvelimille. Tutkijat havaitsivat, että ladattujen tiedostojen salauksenpurkuavaimet on koodattu niihin, mikä helpottaa niiden sisältämän sisällön käyttöä.

FakeCrack-haittaohjelmauhat esittelivät kaksi mielenkiintoista tekniikkaa. Ensin he pudottivat melko suuren mutta voimakkaasti hämärtyneen skriptin tartunnan saaneisiin järjestelmiin. Tämän skriptin päätehtävä on leikepöydän valvonta. Havaittuaan leikepöydälle tallennetun sopivan kryptolompakkoosoitteen haittaohjelma korvaa sen hakkereiden hallitseman lompakon osoitteella. Kolmen onnistuneen muutoksen jälkeen komentosarja poistetaan.

Toinen tekniikka sisältää IP-osoitteen määrittämisen, joka lataa vioittuneen PAC (Proxy Auto-Configuration) -komentosarjan. Kun uhrit yrittävät vierailla jollakin kohdistetuista verkkotunnuksista, heidän liikenne ohjataan kyberrikollisten hallitsemalle välityspalvelimelle. Tämä tekniikka on melko epätavallinen kryptovarastajien suhteen, mutta sen avulla hakkerit voivat tarkkailla uhriensa liikennettä pitkiä aikoja ilman, että mahdollisuudet tulla huomatuiksi.

Trendaavat

Eniten katsottu

Ladataan...