FakeCrack-malware

Cybercriminelen hebben een grootschalige infrastructuur opgezet met als doel het leveren van info-stelen en crypto-stelende malware aan hun slachtoffers. De malwarebedreigingen worden aan gebruikers gepresenteerd als gekraakte versies van legitieme softwareproducten, videogames en andere gelicentieerde applicaties. Om deze gekraakte versies te vinden, bezoeken gebruikers verschillende dubieuze websites. De exploitanten van deze campagne hebben echter ook Black SEO-technieken gebruikt, zodat hun beschadigde websites in de topresultaten van zoekmachines verschijnen.

Details over de campagne en de malware die het aflevert, werden onthuld in een rapport van de cybersecurity-experts, die volgen onder de naam FakeCrack. Volgens hun bevindingen bevonden de doelen van de schadelijke operatie zich voornamelijk in Brazilië, India, Indonesië en Frankrijk. Bovendien zijn ze van mening dat de cybercriminelen achter FakeCrack er tot nu toe in geslaagd zijn om meer dan $ 50.000 aan crypto-activa van hun slachtoffers over te hevelen.

De malware die in de FakeCrack-campagne wordt geleverd, arriveert op de machines van de slachtoffers in de vorm van ZIP-bestanden. De archieven zijn versleuteld met een algemeen of eenvoudig wachtwoord, zoals 1234, maar het is nog steeds efficiënt genoeg om te voorkomen dat anti-malwareoplossingen de inhoud van het bestand analyseren. Wanneer geopend, zullen gebruikers waarschijnlijk een enkel bestand met de naam 'setup.exe' of 'cracksetuo.exe' in het archief vinden.

Zodra het bestand is geactiveerd, zal het de malware op het systeem uitvoeren. De eerste stap van de bedreigingen die als onderdeel van FakeCrack zijn weggelaten, is het scannen van de pc van het slachtoffer en het verzamelen van privé-informatie, waaronder accountgegevens, creditcard-/debetkaartgegevens en details van verschillende crypto-wallet-applicaties. Alle geëxtraheerde informatie is verpakt in een versleuteld ZIP-bestand en geëxfiltreerd naar de Command-and-Control (C2, C&C) servers van de operatie. De onderzoekers ontdekten dat de decoderingssleutels voor de geüploade bestanden erin zijn gecodeerd, wat de toegang tot de inhoud erin veel gemakkelijker maakt.

De malware-bedreigingen van FakeCrack vertoonden twee interessante technieken. Eerst lieten ze een vrij groot maar zwaar versluierd script op de geïnfecteerde systemen vallen. De belangrijkste functie van dit script is om het klembord te controleren. Bij het detecteren van een geschikt crypto-wallet-adres dat is opgeslagen op het klembord, zal de malware dit vervangen door het adres van een portemonnee die wordt beheerd door de hackers. Na drie succesvolle wijzigingen wordt het script verwijderd.

De tweede techniek omvat het instellen van een IP-adres dat een beschadigd PAC-script (Proxy Auto-Configuration) downloadt. Wanneer slachtoffers een van de doeldomeinen proberen te bezoeken, wordt hun verkeer omgeleid naar een proxyserver die wordt beheerd door de cybercriminelen. Deze techniek is vrij ongebruikelijk als het gaat om crypto-stealers, maar het stelt de hackers in staat om het verkeer van hun slachtoffers gedurende langere perioden te observeren, met minimale kans om opgemerkt te worden.