FakeCrack Malware

Os cibercriminosos estabeleceram uma infraestrutura em grande escala com o objetivo de fornecer malware de roubo de informações e roubo de criptografia para suas vítimas. As ameaças de malware são apresentadas aos usuários como versões crackeadas de produtos de software legítimos, videogames e outros aplicativos licenciados. Para encontrar essas versões quebradas, os usuários visitam vários sites duvidosos. No entanto, os operadores desta campanha também utilizaram técnicas de Black SEO para que seus sites corrompidos apareçam entre os principais resultados entregues pelos mecanismos de busca.

Detalhes sobre a campanha e o malware que ela entrega foram revelados em um relatório dos especialistas em segurança cibernética, que rastreiam sob o nome de FakeCrack. De acordo com suas descobertas, os alvos da operação prejudicial estavam localizados principalmente no Brasil, Índia, Indonésia e França. Além disso, eles acreditam que os cibercriminosos por trás do FakeCrack conseguiram até agora desviar mais de US$50.000 em cripto-ativos de suas vítimas.

O malware entregue na campanha do FakeCrack chega às máquinas das vítimas na forma de arquivos ZIP. Os arquivos são criptografados com uma senha comum ou simples, como 1234, mas ainda é eficiente o suficiente para impedir que soluções anti-malware analisem o conteúdo do arquivo. Quando aberto, os usuários provavelmente encontrarão um único arquivo chamado 'setup.exe' ou 'cracksetuo.exe' dentro do arquivo.

Assim que o arquivo for ativado, ele executará o malware no sistema. O primeiro passo das ameaças lançadas como parte do FakeCrack é escanear o PC da vítima e coletar informações privadas, incluindo credenciais de conta, dados de cartão de crédito/débito e detalhes de vários aplicativos de carteira criptográfica. Todas as informações extraídas são empacotadas dentro de um arquivo ZIP criptografado e exfiltradas para os servidores de Comando e Controle (C2, C&C) da operação. Os pesquisadores descobriram que as chaves de descriptografia para os arquivos carregados são codificadas neles, o que torna o acesso ao conteúdo dentro deles muito mais fácil.

As ameaças de malware FakeCrack exibiram duas técnicas interessantes. Primeiro, eles lançaram um script bastante grande, mas fortemente ofuscado, nos sistemas infectados. A principal função deste script é monitorar a área de transferência. Ao detectar um endereço de carteira de criptografia adequado salvo na área de transferência, o malware o substituirá pelo endereço de uma carteira controlada pelos hackers. Após três alterações bem-sucedidas, o script será excluído.

A segunda técnica envolve a configuração de um endereço IP que baixa um script PAC (Configuração automática de proxy) corrompido. Quando as vítimas tentassem visitar qualquer um dos domínios visados, seu tráfego seria redirecionado para um servidor proxy controlado pelos cibercriminosos. Essa técnica é bastante incomum quando se trata de ladrões de criptografia, mas permite que os hackers observem o tráfego de suas vítimas por períodos prolongados, com chances mínimas de serem notados.