FakeCrack ļaunprātīga programmatūra

Kibernoziedznieki ir izveidojuši liela mēroga infrastruktūru, lai saviem upuriem piegādātu informācijas zādzību un kriptozagšanas ļaunprātīgu programmatūru. Ļaunprātīgas programmatūras draudi lietotājiem tiek parādīti kā likumīgu programmatūras produktu, videospēļu un citu licencētu lietojumprogrammu uzlauztas versijas. Lai atrastu šīs uzlauztās versijas, lietotāji apmeklē dažādas apšaubāmas vietnes. Tomēr šīs kampaņas operatori ir izmantojuši arī Black SEO paņēmienus, lai viņu bojātās vietnes tiktu rādītas starp labākajiem meklētājprogrammu sniegtajiem rezultātiem.

Sīkāka informācija par kampaņu un tās piegādāto ļaunprogrammatūru tika atklāta ziņojumā, ko sagatavojuši kiberdrošības eksperti, kuri izseko ar nosaukumu FakeCrack. Saskaņā ar viņu atklājumiem kaitīgās operācijas mērķi lielākoties atradās Brazīlijā, Indijā, Indonēzijā un Francijā. Turklāt viņi uzskata, ka kibernoziedzniekiem, kas atrodas aiz FakeCrack, līdz šim ir izdevies no saviem upuriem izvilkt vairāk nekā USD 50 000 kriptoaktīvos.

FakeCrack kampaņā piegādātā ļaunprogrammatūra upuru iekārtās nonāk ZIP failu veidā. Arhīvi tiek šifrēti ar parastu vai vienkāršu paroli, piemēram, 1234, taču tā joprojām ir pietiekami efektīva, lai neļautu ļaunprogrammatūras novēršanas risinājumiem analizēt faila saturu. Atverot, lietotāji, visticamāk, arhīvā atradīs vienu failu ar nosaukumu "setup.exe" vai "cracksetuo.exe".

Kad fails ir aktivizēts, tas palaidīs sistēmā ļaunprātīgu programmatūru. FakeCrack ietvaros atmesto draudu pirmais solis ir upura datora skenēšana un privātas informācijas apkopošana, tostarp konta akreditācijas dati, kredītkaršu/debetkaršu dati un informācija no vairākām kriptovaku lietojumprogrammām. Visa iegūtā informācija tiek iesaiņota šifrētā ZIP failā un tiek izfiltrēta operācijas Command-and-Control (C2, C&C) serveros. Pētnieki atklāja, ka augšupielādēto failu atšifrēšanas atslēgas tajos ir iekodētas, kas ievērojami atvieglo piekļuvi saturam.

FakeCrack ļaunprogrammatūras draudi demonstrēja divus interesantus paņēmienus. Pirmkārt, viņi inficētajās sistēmās nolaida diezgan lielu, bet ļoti neskaidru skriptu. Šī skripta galvenā funkcija ir uzraudzīt starpliktuvi. Atklājot starpliktuvē saglabātu piemērotu kriptovalūta adresi, ļaunprogrammatūra to aizstās ar hakeru kontrolētā maka adresi. Pēc trim veiksmīgām izmaiņām skripts tiks dzēsts.

Otrā metode ietver IP adreses iestatīšanu, kas lejupielādē bojātu PAC (starpniekservera automātiskās konfigurācijas) skriptu. Kad upuri mēģina apmeklēt kādu no mērķa domēniem, viņu trafika tiks novirzīta uz starpniekserveri, ko kontrolē kibernoziedznieki. Šis paņēmiens ir diezgan neparasta, ja runa ir par kriptovalūtu zagļiem, taču tā ļauj hakeriem ilgstoši novērot savu upuru trafiku ar minimālu iespēju tikt pamanītiem.