FakeCrack Malware

Nettkriminelle har etablert en storstilt infrastruktur med mål om å levere informasjonsstjeling og krypto-tyveri malware til ofrene sine. Skadevaretruslene presenteres for brukere som crackede versjoner av legitime programvareprodukter, videospill og andre lisensierte applikasjoner. For å finne disse knekkede versjonene besøker brukere ulike tvilsomme nettsteder. Operatørene av denne kampanjen har imidlertid også brukt svarte SEO-teknikker slik at deres korrupte nettsider vises blant de beste resultatene levert av søkemotorer.

Detaljer om kampanjen og skadelig programvare den leverer ble avslørt i en rapport fra cybersikkerhetsekspertene, som sporer under navnet FakeCrack. Ifølge funnene deres var målene for den skadelige operasjonen for det meste lokalisert i Brasil, India, Indonesia og Frankrike. I tillegg mener de at cyberkriminelle bak FakeCrack så langt har klart å sifon ut over 50 000 dollar i kryptoaktiva fra ofrene sine.

Skadevaren levert i FakeCrack-kampanjen kommer til ofrenes maskiner i form av ZIP-filer. Arkivene er kryptert med et vanlig eller enkelt passord, for eksempel 1234, men det er fortsatt effektivt nok til å hindre anti-malware-løsninger fra å analysere innholdet i filen. Når den åpnes, vil brukerne sannsynligvis finne en enkelt fil kalt 'setup.exe' eller 'cracksetuo.exe' inne i arkivet.

Når filen er aktivert, vil den kjøre skadelig programvare på systemet. Det første trinnet av truslene som ble droppet som en del av FakeCrack er å skanne offerets PC og samle inn privat informasjon, inkludert kontolegitimasjon, kreditt-/debetkortdata og detaljer fra flere krypto-lommebokapplikasjoner. All uttrukket informasjon pakkes i en kryptert ZIP-fil og eksfiltreres til Command-and-Control (C2, C&C) servere for operasjonen. Forskerne oppdaget at dekrypteringsnøklene for de opplastede filene er hardkodet inn i dem, noe som gjør det mye enklere å få tilgang til innholdet i dem.

FakeCrack-malwaretruslene viste to interessante teknikker. Først slapp de et ganske stort, men sterkt tilslørt skript på de infiserte systemene. Hovedfunksjonen til dette skriptet er å overvåke utklippstavlen. Ved å oppdage en passende krypto-lommebokadresse lagret i utklippstavlen, vil skadelig programvare erstatte den med adressen til en lommebok kontrollert av hackerne. Etter tre vellykkede endringer vil skriptet bli slettet.

Den andre teknikken innebærer å sette opp en IP-adresse som laster ned et ødelagt PAC-skript (Proxy Auto-Configuration). Når ofre prøver å besøke noen av de målrettede domenene, vil trafikken deres bli omdirigert til en proxy-server kontrollert av nettkriminelle. Denne teknikken er ganske uvanlig når det kommer til krypto-tyvere, men den lar hackerne observere trafikken til ofrene sine over lengre perioder, med minimale sjanser for å bli lagt merke til.