FakeCrack zlonamjerni softver

Cyber kriminalci uspostavili su infrastrukturu velikih razmjera s ciljem isporučivanja zlonamjernog softvera za krađu informacija i kripto-krađu svojim žrtvama. Prijetnje od zlonamjernog softvera korisnicima se predstavljaju kao krekovane verzije legitimnih softverskih proizvoda, videoigara i drugih licenciranih aplikacija. Kako bi pronašli ove krekovane verzije, korisnici posjećuju razne sumnjive web stranice. Međutim, operateri ove kampanje također su koristili Black SEO tehnike tako da se njihove oštećene web stranice pojavljuju među najboljim rezultatima koje isporučuju tražilice.

Detalji o kampanji i zlonamjernom softveru koji ona isporučuje otkriveni su u izvješću stručnjaka za kibernetičku sigurnost, koji prate pod imenom FakeCrack. Prema njihovim nalazima, mete štetne operacije uglavnom su bile u Brazilu, Indiji, Indoneziji i Francuskoj. Osim toga, vjeruju da su cyber kriminalci koji stoje iza FakeCracka do sada uspjeli izvući preko 50.000 dolara kripto imovine od svojih žrtava.

Zlonamjerni softver isporučen u FakeCrack kampanji stiže na strojeve žrtava u obliku ZIP datoteka. Arhive su šifrirane uobičajenom ili jednostavnom lozinkom, kao što je 1234, ali je i dalje dovoljno učinkovita da spriječi anti-malware rješenja da analiziraju sadržaj datoteke. Kada se otvore, korisnici će vjerojatno pronaći jednu datoteku pod nazivom 'setup.exe' ili 'cracksetuo.exe' unutar arhive.

Nakon što se datoteka aktivira, pokrenut će zlonamjerni softver na sustavu. Prvi korak prijetnji odbačenih kao dio FakeCracka jest skeniranje žrtvinog računala i prikupljanje privatnih podataka, uključujući vjerodajnice računa, podatke o kreditnoj/debitnoj kartici i pojedinosti iz nekoliko aplikacija za kriptovalute. Sve ekstrahirane informacije pakiraju se unutar šifrirane ZIP datoteke i eksfiltriraju na poslužitelje za upravljanje i upravljanje (C2, C&C) operacije. Istraživači su otkrili da su ključevi za dešifriranje učitanih datoteka tvrdo kodirani u njih, što čini pristup sadržaju u njima daleko lakšim.

Prijetnje zlonamjernog softvera FakeCrack pokazale su dvije zanimljive tehnike. Prvo, izbacili su prilično veliku, ali jako zamućenu skriptu na zaražene sustave. Glavna funkcija ove skripte je nadgledanje međuspremnika. Nakon što otkrije odgovarajuću adresu kripto-novčanika spremljenu u međuspremnik, zlonamjerni softver će je zamijeniti adresom novčanika koji kontroliraju hakeri. Nakon tri uspješne promjene, skripta će biti izbrisana.

Druga tehnika uključuje postavljanje IP adrese koja preuzima oštećenu PAC (Proxy Auto-Configuration) skriptu. Kada žrtve pokušaju posjetiti bilo koju od ciljanih domena, njihov promet bi se preusmjerio na proxy poslužitelj koji kontroliraju cyber kriminalci. Ova tehnika je prilično neobična kada su u pitanju kradljivci kriptovaluta, ali omogućuje hakerima da promatraju promet svojih žrtava tijekom duljeg razdoblja, s minimalnim izgledima da budu primijećeni.