FakeCrack Malware

A kiberbűnözők nagyszabású infrastruktúrát hoztak létre azzal a céllal, hogy információ- és kriptográfiai kártevőket juttathassanak el áldozataikhoz. A rosszindulatú programok a felhasználók számára legitim szoftvertermékek, videojátékok és egyéb licencelt alkalmazások feltört verzióiként jelennek meg. A feltört verziók megtalálásához a felhasználók különféle kétes webhelyeket keresnek fel. Ennek a kampánynak az üzemeltetői azonban Black SEO technikákat is alkalmaztak, így sérült weboldalaik a keresőmotorok által szállított legjobb találatok között jelennek meg.

A kampány részleteit és az általa szállított kártevőket a FakeCrack néven nyomon követő kiberbiztonsági szakértők jelentéséből tárták fel. Megállapításaik szerint a káros hadművelet célpontjai többnyire Brazíliában, Indiában, Indonéziában és Franciaországban voltak. Ezenkívül úgy vélik, hogy a FakeCrack mögött álló kiberbűnözőknek eddig több mint 50 000 dollárnyi kriptovagyont sikerült kiszipolyozniuk áldozataiktól.

A FakeCrack kampányban szállított kártevő ZIP fájlok formájában érkezik meg az áldozatok gépeire. Az archívumok egy általános vagy egyszerű jelszóval, például 1234-gyel vannak titkosítva, de ez még mindig elég hatékony ahhoz, hogy megakadályozza, hogy a rosszindulatú szoftverek elhárítása elemezze a fájl tartalmát. Megnyitáskor a felhasználók valószínűleg egyetlen „setup.exe” vagy „cracksetuo.exe” nevű fájlt találnak az archívumban.

A fájl aktiválása után végrehajtja a rosszindulatú programot a rendszeren. A FakeCrack részeként elvetett fenyegetések első lépése az áldozat számítógépének átvizsgálása, és személyes adatok gyűjtése, beleértve a fiók hitelesítő adatait, a hitel-/bankkártya-adatokat és számos kripto-pénztárca alkalmazás adatait. Az összes kivont információt egy titkosított ZIP-fájlba csomagolják, és kiszűrik a művelet Command-and-Control (C2, C&C) kiszolgálóira. A kutatók felfedezték, hogy a feltöltött fájlok visszafejtési kulcsai be vannak kódolva, ami sokkal könnyebbé teszi a bennük lévő tartalom elérését.

A FakeCrack malware fenyegetések két érdekes technikát mutattak be. Először egy meglehetősen nagy, de erősen homályos szkriptet dobtak a fertőzött rendszerekre. Ennek a szkriptnek a fő funkciója a vágólap figyelése. A vágólapra mentett megfelelő kriptopénztárca-cím észlelésekor a kártevő a hackerek által ellenőrzött pénztárca címével helyettesíti azt. Három sikeres módosítás után a szkript törlődik.

A második technika egy olyan IP-cím beállítását jelenti, amely letölti a sérült PAC (Proxy Auto-Configuration) szkriptet. Amikor az áldozatok megpróbálják felkeresni a megcélzott domainek valamelyikét, forgalmukat a számítógépes bűnözők által ellenőrzött proxyszerverre irányítják át. Ez a technika meglehetősen szokatlan, ha kriptolopókról van szó, de lehetővé teszi a hackerek számára, hogy hosszú ideig megfigyeljék áldozataik forgalmát, minimális eséllyel észrevéve.