תוכנת זדונית FakeCrack
פושעי סייבר הקימו תשתית בקנה מידה גדול במטרה לספק תוכנות זדוניות גניבת מידע וגניבת קריפטו לקורבנותיהם. איומי התוכנה הזדוניות מוצגים למשתמשים כגרסאות פצחות של מוצרי תוכנה לגיטימיים, משחקי וידאו ויישומים מורשים אחרים. כדי למצוא את הגרסאות הסדוקות הללו, משתמשים מבקרים באתרים מפוקפקים שונים. עם זאת, המפעילים של מסע פרסום זה השתמשו גם בטכניקות של קידום אתרים שחור, כך שהאתרים הפגומים שלהם יופיעו בין התוצאות המובילות שסופקו על ידי מנועי החיפוש.
פרטים על הקמפיין והתוכנה הזדונית שהוא מספק נחשפו בדו"ח של מומחי אבטחת סייבר, שעוקבים תחת השם FakeCrack. לפי ממצאיהם, מטרות המבצע המזיק אותרו בעיקר בברזיל, הודו, אינדונזיה וצרפת. בנוסף, הם מאמינים שפושעי הסייבר שמאחורי FakeCrack הצליחו עד כה להוציא מעל 50,000 דולר נכסי קריפטו מקורבנותיהם.
התוכנה הזדונית המועברת בקמפיין FakeCrack מגיעה למכונות של הקורבנות בצורה של קבצי ZIP. הארכיונים מוצפנים בסיסמה נפוצה או פשוטה, כמו 1234 אך היא עדיין יעילה מספיק כדי למנוע מפתרונות אנטי-תוכנות זדוניות לנתח את תוכן הקובץ. כאשר הפתיחה, המשתמשים עשויים למצוא קובץ בודד בשם 'setup.exe' או 'cracksetuo.exe' בתוך הארכיון.
לאחר הפעלת הקובץ, הוא יפעיל את התוכנה הזדונית במערכת. השלב הראשון של האיומים שנפלו כחלק מ-FakeCrack הוא סריקת המחשב האישי של הקורבן ואיסוף מידע פרטי, כולל אישורי חשבון, נתוני כרטיסי אשראי/חיוב ופרטים ממספר יישומי ארנק קריפטו. כל המידע שחולץ נארז בתוך קובץ ZIP מוצפן ומועבר אל שרתי הפקודה והבקרה (C2, C&C) של הפעולה. החוקרים גילו שמפתחות הפענוח של הקבצים שהועלו מקודדים בתוכם, מה שמקל בהרבה על הגישה לתוכן שבתוכם.
איומי התוכנות הזדוניות של FakeCrack הציגו שתי טכניקות מעניינות. ראשית, הם הפילו סקריפט די גדול אך מעורפל בכבדות על המערכות הנגועות. התפקיד העיקרי של סקריפט זה הוא לפקח על הלוח. לאחר זיהוי כתובת מתאימה של ארנק קריפטו שנשמר בלוח, התוכנה הזדונית תחליף אותה בכתובת של ארנק הנשלט על ידי ההאקרים. לאחר שלושה שינויים מוצלחים, הסקריפט יימחק.
הטכניקה השנייה כוללת הגדרת כתובת IP שמורידה סקריפט PAC (Proxy Auto-Configuration) פגום. כאשר קורבנות מנסים לבקר בכל אחד מהדומיינים הממוקדים, התנועה שלהם תופנה לשרת פרוקסי שנשלט על ידי פושעי הסייבר. טכניקה זו היא די יוצאת דופן כשמדובר בגנבי קריפטו, אך היא מאפשרת להאקרים לצפות בתעבורה של הקורבנות שלהם לאורך תקופות ממושכות, עם סיכוי מינימלי שיבחינו בהם.
