FakeCrack Malware

Criminalii cibernetici au stabilit o infrastructură la scară largă cu scopul de a oferi victimelor lor malware de furt de informații și de cripto-furt. Amenințările malware sunt prezentate utilizatorilor ca versiuni sparte de produse software legitime, jocuri video și alte aplicații licențiate. Pentru a găsi aceste versiuni sparte, utilizatorii vizitează diverse site-uri web dubioase. Cu toate acestea, operatorii acestei campanii au folosit și tehnici Black SEO, astfel încât site-urile lor corupte să apară printre rezultatele de top oferite de motoarele de căutare.

Detalii despre campanie și malware-ul pe care îl furnizează au fost dezvăluite într-un raport al experților în securitate cibernetică, care urmăresc sub numele FakeCrack. Potrivit constatărilor lor, țintele operațiunii dăunătoare au fost localizate în principal în Brazilia, India, Indonezia și Franța. În plus, ei cred că infractorii cibernetici din spatele FakeCrack au reușit până acum să elimine peste 50.000 de dolari în cripto active de la victimele lor.

Malware-ul livrat în campania FakeCrack ajunge pe mașinile victimelor sub formă de fișiere ZIP. Arhivele sunt criptate cu o parolă comună sau simplă, cum ar fi 1234, dar este încă suficient de eficientă pentru a împiedica soluțiile anti-malware să analizeze conținutul fișierului. Când este deschis, este posibil ca utilizatorii să găsească un singur fișier numit „setup.exe” sau „cracksetuo.exe” în interiorul arhivei.

Odată ce fișierul este activat, acesta va executa malware-ul pe sistem. Primul pas al amenințărilor renunțate ca parte a FakeCrack este scanarea computerului victimei și colectarea de informații private, inclusiv acreditările contului, datele cardului de credit/debit și detalii din mai multe aplicații cripto-portofel. Toate informațiile extrase sunt împachetate într-un fișier ZIP criptat și exfiltrate către serverele de comandă și control (C2, C&C) ale operațiunii. Cercetătorii au descoperit că cheile de decriptare pentru fișierele încărcate sunt codificate în ele, ceea ce face accesarea conținutului din interiorul lor mult mai ușoară.

Amenințările malware FakeCrack au prezentat două tehnici interesante. În primul rând, au renunțat la sistemele infectate un script destul de mare, dar foarte obscurcat. Funcția principală a acestui script este de a monitoriza clipboard-ul. La detectarea unei adrese de cripto-portofel salvate în clipboard, malware-ul o va înlocui cu adresa unui portofel controlat de hackeri. După trei modificări reușite, scriptul va fi șters.

A doua tehnică implică configurarea unei adrese IP care descarcă un script PAC (Proxy Auto-Configuration) corupt. Când victimele încearcă să viziteze oricare dintre domeniile vizate, traficul lor va fi redirecționat către un server proxy controlat de infractorii cibernetici. Această tehnică este destul de neobișnuită când vine vorba de cripto-furători, dar le permite hackerilor să observe traficul victimelor lor pe perioade prelungite, cu șanse minime de a fi observați.