Perisian Hasad FakeCrack

Penjenayah siber telah mewujudkan infrastruktur berskala besar dengan matlamat untuk menyampaikan perisian hasad pencurian maklumat dan pencurian kripto kepada mangsa mereka. Ancaman perisian hasad dikemukakan kepada pengguna sebagai versi retak produk perisian yang sah, permainan video dan aplikasi berlesen lain. Untuk mencari versi retak ini, pengguna melawati pelbagai laman web yang meragukan. Walau bagaimanapun, pengendali kempen ini juga telah menggunakan teknik Black SEO supaya laman web mereka yang rosak muncul antara hasil teratas yang disampaikan oleh enjin carian.

Butiran tentang kempen dan perisian hasad yang disampaikannya telah didedahkan dalam laporan oleh pakar keselamatan siber, yang menjejaki di bawah nama FakeCrack. Menurut penemuan mereka, sasaran operasi berbahaya itu kebanyakannya terletak di Brazil, India, Indonesia dan Perancis. Di samping itu, mereka percaya bahawa penjenayah siber di sebalik FakeCrack setakat ini telah berjaya menyedut lebih $50, 000 dalam aset kripto daripada mangsa mereka.

Malware yang dihantar dalam kempen FakeCrack tiba pada mesin mangsa dalam bentuk fail ZIP. Arkib disulitkan dengan kata laluan biasa atau mudah, seperti 1234 tetapi ia masih cukup cekap untuk menghalang penyelesaian anti-perisian hasad daripada menganalisis kandungan fail. Apabila dibuka, pengguna mungkin menemui satu fail bernama 'setup.exe' atau 'cracksetuo.exe' di dalam arkib.

Setelah fail diaktifkan, ia akan melaksanakan perisian hasad pada sistem. Langkah pertama ancaman yang digugurkan sebagai sebahagian daripada FakeCrack ialah mengimbas PC mangsa dan mengumpul maklumat peribadi, termasuk kelayakan akaun, data kad kredit/debit dan butiran daripada beberapa aplikasi dompet kripto. Semua maklumat yang diekstrak dibungkus dalam fail ZIP yang disulitkan dan dieksfiltrasi ke pelayan Perintah-dan-Kawalan (C2, C&C) operasi. Para penyelidik mendapati bahawa kunci penyahsulitan untuk fail yang dimuat naik dikodkan keras ke dalamnya, yang menjadikan akses kandungan di dalamnya lebih mudah.

Ancaman malware FakeCrack mempamerkan dua teknik yang menarik. Mula-mula, mereka menjatuhkan skrip yang agak besar tetapi sangat dikaburkan pada sistem yang dijangkiti. Fungsi utama skrip ini adalah untuk memantau papan keratan. Setelah mengesan alamat dompet kripto yang sesuai disimpan dalam papan keratan, perisian hasad akan menggantikannya dengan alamat dompet yang dikawal oleh penggodam. Selepas tiga perubahan berjaya, skrip akan dipadamkan.

Teknik kedua melibatkan penyediaan alamat IP yang memuat turun skrip PAC (Proxy Auto-Configuration) yang rosak. Apabila mangsa cuba melawat mana-mana domain yang disasarkan, trafik mereka akan diubah hala ke pelayan proksi yang dikawal oleh penjenayah siber. Teknik ini agak luar biasa apabila ia berkaitan dengan pencuri kripto, tetapi ia membolehkan penggodam memerhati trafik mangsa mereka dalam tempoh yang berpanjangan, dengan peluang minimum untuk disedari.