Malware FakeCrack

I criminali informatici hanno creato un'infrastruttura su larga scala con l'obiettivo di fornire alle loro vittime malware per il furto di informazioni e il furto di criptovalute. Le minacce malware vengono presentate agli utenti come versioni crackate di prodotti software legittimi, videogiochi e altre applicazioni con licenza. Per trovare queste versioni crackate, gli utenti visitano vari siti Web dubbi. Tuttavia, gli operatori di questa campagna hanno anche utilizzato tecniche di Black SEO in modo che i loro siti Web corrotti appaiano tra i primi risultati forniti dai motori di ricerca.

I dettagli sulla campagna e sul malware che fornisce sono stati rivelati in un rapporto degli esperti di sicurezza informatica, che tracciano sotto il nome di FakeCrack. Secondo i loro risultati, gli obiettivi dell'operazione dannosa erano per lo più localizzati in Brasile, India, Indonesia e Francia. Inoltre, credono che i criminali informatici dietro FakeCrack siano riusciti finora a sottrarre oltre $ 50.000 in criptovalute dalle loro vittime.

Il malware consegnato nella campagna FakeCrack arriva sui computer delle vittime sotto forma di file ZIP. Gli archivi sono crittografati con una password comune o semplice, come 1234, ma è comunque abbastanza efficiente da impedire alle soluzioni anti-malware di analizzare il contenuto del file. Una volta aperto, è probabile che gli utenti trovino un singolo file denominato "setup.exe" o "cracksetuo.exe" all'interno dell'archivio.

Una volta attivato, il file eseguirà il malware sul sistema. Il primo passo delle minacce rilasciate come parte di FakeCrack è scansionare il PC della vittima e raccogliere informazioni private, comprese le credenziali dell'account, i dati delle carte di credito/debito e i dettagli da diverse applicazioni di cripto-portafogli. Tutte le informazioni estratte vengono impacchettate all'interno di un file ZIP crittografato ed esfiltrate ai server Command-and-Control (C2, C&C) dell'operazione. I ricercatori hanno scoperto che le chiavi di decrittazione per i file caricati sono codificate al loro interno, il che rende molto più semplice l'accesso al contenuto al loro interno.

Le minacce malware FakeCrack hanno mostrato due tecniche interessanti. In primo luogo, hanno rilasciato uno script piuttosto grande ma fortemente offuscato sui sistemi infetti. La funzione principale di questo script è monitorare gli appunti. Dopo aver rilevato un indirizzo di cripto-portafoglio adatto salvato negli appunti, il malware lo sostituirà con l'indirizzo di un portafoglio controllato dagli hacker. Dopo tre modifiche riuscite, lo script verrà eliminato.

La seconda tecnica prevede la configurazione di un indirizzo IP che scarichi uno script PAC (Proxy Auto-Configuration) danneggiato. Quando le vittime tentano di visitare uno qualsiasi dei domini presi di mira, il loro traffico viene reindirizzato a un server proxy controllato dai criminali informatici. Questa tecnica è abbastanza insolita quando si tratta di cripto-ladri, ma consente agli hacker di osservare il traffico delle loro vittime per periodi prolungati, con possibilità minime di essere notati.