Вредоносное ПО FakeCrack
Киберпреступники создали крупномасштабную инфраструктуру с целью доставки своим жертвам вредоносных программ для кражи информации и криптографии. Вредоносные программы представляются пользователям как взломанные версии законных программных продуктов, видеоигр и других лицензионных приложений. Чтобы найти эти взломанные версии, пользователи посещают различные сомнительные веб-сайты. Тем не менее, операторы этой кампании также использовали методы черного SEO, чтобы их поврежденные веб-сайты появлялись среди лучших результатов, выдаваемых поисковыми системами.
Подробности о кампании и доставляемом ею вредоносном ПО были раскрыты в отчете экспертов по кибербезопасности, которые отслеживают под именем FakeCrack. Согласно их выводам, цели вредоносной операции в основном находились в Бразилии, Индии, Индонезии и Франции. Кроме того, они считают, что киберпреступникам, стоящим за FakeCrack, удалось выкачать более 50 000 долларов криптоактивов у своих жертв.
Вредоносное ПО, поставляемое в рамках кампании FakeCrack, попадает на компьютеры жертв в виде ZIP-файлов. Архивы зашифрованы обычным или простым паролем, например 1234, но он все еще достаточно эффективен, чтобы предотвратить анализ содержимого файла антивирусными решениями. При открытии пользователи, скорее всего, обнаружат внутри архива один файл с именем «setup.exe» или «cracksetuo.exe».
Как только файл будет активирован, он запустит вредоносное ПО в системе. Первым шагом угроз, отброшенных в рамках FakeCrack, является сканирование ПК жертвы и сбор личной информации, включая учетные данные учетной записи, данные кредитной / дебетовой карты и данные из нескольких приложений крипто-кошелька. Вся извлеченная информация упаковывается в зашифрованный ZIP-файл и эксфильтрируется на серверы управления и контроля (C2, C&C) операции. Исследователи обнаружили, что ключи дешифрования загруженных файлов жестко закодированы в них, что значительно упрощает доступ к их содержимому.
Вредоносные угрозы FakeCrack продемонстрировали два интересных метода. Во-первых, они сбрасывали на зараженные системы довольно большой, но сильно запутанный скрипт. Основная функция этого скрипта — следить за буфером обмена. При обнаружении подходящего адреса криптокошелька, сохраненного в буфере обмена, вредоносное ПО заменит его на адрес кошелька, контролируемого хакерами. После трех успешных изменений скрипт будет удален.
Второй метод включает в себя настройку IP-адреса, который загружает поврежденный сценарий PAC (автоконфигурация прокси-сервера). Когда жертвы пытаются посетить любой из целевых доменов, их трафик будет перенаправлен на прокси-сервер, контролируемый киберпреступниками. Этот метод довольно необычен, когда речь идет о криптокрадах, но он позволяет хакерам наблюдать за трафиком своих жертв в течение длительных периодов времени с минимальными шансами быть замеченными.
