FakeCrack 악성코드

사이버 범죄자들은 피해자에게 정보 도용 및 암호화 도용 멀웨어를 전달하는 것을 목표로 대규모 인프라를 구축했습니다. 멀웨어 위협은 합법적인 소프트웨어 제품, 비디오 게임 및 기타 라이선스가 부여된 응용 프로그램의 크랙 버전으로 사용자에게 제공됩니다. 이러한 크랙 버전을 찾기 위해 사용자는 다양한 의심스러운 웹사이트를 방문합니다. 그러나 이 캠페인의 운영자는 Black SEO 기술을 활용하여 손상된 웹사이트가 검색 엔진이 제공하는 최고의 결과에 표시되도록 했습니다.

캠페인과 이 캠페인이 제공하는 맬웨어에 대한 세부 정보는 FakeCrack이라는 이름으로 추적하는 사이버 보안 전문가의 보고서에서 공개되었습니다. 그들의 조사 결과에 따르면 해로운 작전의 표적은 대부분 브라질, 인도, 인도네시아, 프랑스에 있었다. 또한 그들은 FakeCrack의 배후에 있는 사이버 범죄자들이 지금까지 피해자로부터 50,000달러 이상의 암호화 자산을 빼돌렸습니다.

FakeCrack 캠페인에서 전달된 악성코드는 ZIP 파일 형태로 피해자의 컴퓨터에 도착합니다. 아카이브는 1234와 같은 일반 암호 또는 간단한 암호로 암호화되지만 맬웨어 방지 솔루션이 파일 내용을 분석하지 못하도록 방지할 만큼 충분히 효율적입니다. 열리면 사용자는 아카이브 내에서 'setup.exe' 또는 'cracksetuo.exe'라는 단일 파일을 찾을 수 있습니다.

파일이 활성화되면 시스템에서 맬웨어를 실행합니다. FakeCrack의 일부로 삭제된 위협의 첫 번째 단계는 피해자의 PC를 스캔하고 계정 자격 증명, 신용/직불 카드 데이터 및 여러 암호화 지갑 애플리케이션의 세부 정보를 포함한 개인 정보를 수집하는 것입니다. 추출된 모든 정보는 암호화된 ZIP 파일 내부에 패키징되어 작업의 명령 및 제어(C2, C&C) 서버로 유출됩니다. 연구원들은 업로드된 파일의 암호 해독 키가 하드코딩되어 파일 내부의 콘텐츠에 훨씬 쉽게 액세스할 수 있다는 것을 발견했습니다.

FakeCrack 악성코드 위협은 두 가지 흥미로운 기술을 보여주었습니다. 첫째, 감염된 시스템에 다소 크지만 심하게 난독화된 스크립트를 삭제했습니다. 이 스크립트의 주요 기능은 클립보드를 모니터링하는 것입니다. 클립보드에 저장된 적절한 암호화폐 지갑 주소를 감지하면 악성코드는 해당 주소를 해커가 제어하는 지갑 주소로 대체합니다. 세 번 변경하면 스크립트가 삭제됩니다.

두 번째 기술은 손상된 PAC(프록시 자동 구성) 스크립트를 다운로드하는 IP 주소를 설정하는 것입니다. 피해자가 대상 도메인을 방문하려고 하면 트래픽이 사이버 범죄자가 제어하는 프록시 서버로 리디렉션됩니다. 이 기술은 크립토 스틸러와 관련하여 상당히 이례적인 일이지만 해커가 눈에 띄지 않고 장기간에 걸쳐 피해자의 트래픽을 관찰할 수 있도록 합니다.