Złośliwe oprogramowanie FakeCrack
Cyberprzestępcy stworzyli infrastrukturę na dużą skalę, której celem jest dostarczanie swoim ofiarom złośliwego oprogramowania do kradzieży informacji i kryptowalut. Zagrożenia złośliwym oprogramowaniem są prezentowane użytkownikom jako złamane wersje legalnego oprogramowania, gier wideo i innych licencjonowanych aplikacji. Aby znaleźć te złamane wersje, użytkownicy odwiedzają różne podejrzane witryny. Jednak operatorzy tej kampanii również wykorzystali techniki Black SEO, dzięki czemu ich uszkodzone strony internetowe znalazły się wśród najlepszych wyników dostarczanych przez wyszukiwarki.
Szczegóły dotyczące kampanii i dostarczanego przez nią szkodliwego oprogramowania zostały ujawnione w raporcie ekspertów ds. cyberbezpieczeństwa, którzy śledzą ją pod nazwą FakeCrack. Według ich ustaleń cele szkodliwej operacji znajdowały się głównie w Brazylii, Indiach, Indonezji i Francji. Ponadto uważają, że cyberprzestępcy stojący za FakeCrack do tej pory zdołali wyprowadzić od swoich ofiar ponad 50 000 USD w postaci kryptowalut.
Szkodliwe oprogramowanie dostarczone w ramach kampanii FakeCrack dociera do komputerów ofiar w postaci plików ZIP. Archiwa są zaszyfrowane powszechnym lub prostym hasłem, takim jak 1234, ale nadal jest wystarczająco wydajne, aby zapobiec analizowaniu zawartości pliku przez rozwiązania chroniące przed złośliwym oprogramowaniem. Po otwarciu użytkownicy mogą znaleźć w archiwum pojedynczy plik o nazwie „setup.exe” lub „cracksetuo.exe”.
Gdy plik zostanie aktywowany, uruchomi złośliwe oprogramowanie w systemie. Pierwszym krokiem zagrożeń porzuconych w ramach FakeCrack jest przeskanowanie komputera ofiary i zebranie prywatnych informacji, w tym danych uwierzytelniających konta, danych kart kredytowych/debetowych oraz szczegółów z kilku aplikacji portfela kryptowalutowego. Wszystkie wyodrębnione informacje są pakowane w zaszyfrowany plik ZIP i eksportowane na serwery Command-and-Control (C2, C&C) operacji. Naukowcy odkryli, że klucze deszyfrujące dla przesłanych plików są w nich zakodowane na stałe, co znacznie ułatwia dostęp do zawartej w nich zawartości.
Zagrożenia złośliwym oprogramowaniem FakeCrack wykorzystywały dwie interesujące techniki. Po pierwsze, zrzucili dość duży, ale mocno zaciemniony skrypt na zainfekowane systemy. Główną funkcją tego skryptu jest monitorowanie schowka. Po wykryciu odpowiedniego adresu portfela kryptograficznego zapisanego w schowku złośliwe oprogramowanie zastąpi go adresem portfela kontrolowanego przez hakerów. Po trzech udanych zmianach skrypt zostanie usunięty.
Druga technika polega na skonfigurowaniu adresu IP, który pobiera uszkodzony skrypt PAC (Proxy Auto-Configuration). Gdy ofiary próbują odwiedzić którąkolwiek z zaatakowanych domen, ich ruch zostanie przekierowany na serwer proxy kontrolowany przez cyberprzestępców. Ta technika jest dość nietypowa, jeśli chodzi o złodzieje kryptowalut, ale pozwala hakerom obserwować ruch swoich ofiar przez dłuższy czas, z minimalnymi szansami na zauważenie.
