„FakeCrack“ kenkėjiška programa

Kibernetiniai nusikaltėliai sukūrė plataus masto infrastruktūrą, siekdami savo aukoms pristatyti informacijos vagystę ir kriptovaliutą kenkėjiškas programas. Kenkėjiškų programų grėsmės vartotojams pateikiamos kaip nulaužtos teisėtų programinės įrangos produktų, vaizdo žaidimų ir kitų licencijuotų programų versijos. Norėdami rasti šias nulaužtas versijas, vartotojai apsilanko įvairiose abejotinos svetainėse. Tačiau šios kampanijos operatoriai taip pat panaudojo Black SEO metodus, kad jų sugadintos svetainės būtų tarp geriausių paieškos sistemų rezultatų.

Išsami informacija apie kampaniją ir jos teikiamą kenkėjišką programinę įrangą buvo atskleista kibernetinio saugumo ekspertų, sekančių FakeCrack pavadinimu, ataskaitoje. Remiantis jų išvadomis, žalingos operacijos taikiniai daugiausia buvo Brazilijoje, Indijoje, Indonezijoje ir Prancūzijoje. Be to, jie mano, kad „FakeCrack“ kibernetiniai nusikaltėliai iki šiol sugebėjo iš savo aukų išsiurbti daugiau nei 50 000 USD kriptovaliutų.

Kenkėjiška programa, pristatyta FakeCrack kampanijoje, patenka į aukų kompiuterius ZIP failų pavidalu. Archyvai yra užšifruoti naudojant įprastą arba paprastą slaptažodį, pvz., 1234, tačiau jis vis tiek yra pakankamai efektyvus, kad apsaugos nuo kenkėjiškų programų sprendimai negalėtų analizuoti failo turinio. Atidarę vartotojai gali rasti vieną failą pavadinimu „setup.exe“ arba „cracksetuo.exe“ archyve.

Kai failas bus suaktyvintas, sistemoje bus paleista kenkėjiška programa. Pirmasis „FakeCrack“ pašalintų grasinimų žingsnis yra nuskaityti aukos kompiuterį ir surinkti privačią informaciją, įskaitant paskyros kredencialus, kredito / debeto kortelių duomenis ir išsamią informaciją iš kelių kriptovaliutų piniginės. Visa išgauta informacija yra supakuota į užšifruotą ZIP failą ir išfiltruojama į operacijos komandų ir valdymo (C2, C&C) serverius. Tyrėjai išsiaiškino, kad įkeltų failų iššifravimo raktai juose yra užkoduoti, todėl pasiekti turinį juose yra daug lengviau.

„FakeCrack“ kenkėjiškų programų grėsmės demonstravo du įdomius būdus. Pirma, jie užkrėstose sistemose numetė gana didelį, bet labai užmaskuotą scenarijų. Pagrindinė šio scenarijaus funkcija yra stebėti iškarpinę. Aptikusi tinkamą kriptografinės piniginės adresą, išsaugotą iškarpinėje, kenkėjiška programa jį pakeis įsilaužėlių valdomos piniginės adresu. Po trijų sėkmingų pakeitimų scenarijus bus ištrintas.

Antrasis metodas apima IP adreso nustatymą, kuris atsisiunčia sugadintą PAC (tarpinio serverio automatinės konfigūracijos) scenarijų. Kai aukos bando apsilankyti bet kuriame iš tikslinių domenų, jų srautas bus nukreipiamas į tarpinį serverį, kurį kontroliuoja kibernetiniai nusikaltėliai. Ši technika yra gana neįprasta, kai kalbama apie kriptovaliutų vagystes, tačiau ji leidžia įsilaužėliams stebėti savo aukų srautą ilgą laiką, su minimalia tikimybe būti pastebėtiems.