FakeCrack Malware

Kyberzločinci vytvorili rozsiahlu infraštruktúru s cieľom doručiť svojim obetiam malvér na kradnutie informácií a kradnutie kryptomien. Malvérové hrozby sú používateľom prezentované ako cracknuté verzie legitímnych softvérových produktov, videohier a iných licencovaných aplikácií. Aby používatelia našli tieto cracknuté verzie, navštevujú rôzne pochybné webové stránky. Prevádzkovatelia tejto kampane však tiež využili techniky Black SEO, aby sa ich poškodené webové stránky objavili medzi najlepšími výsledkami poskytovanými vyhľadávacími nástrojmi.

Podrobnosti o kampani a malvéri, ktorý prináša, odhalila správa expertov na kybernetickú bezpečnosť, ktorí ich sledujú pod názvom FakeCrack. Podľa ich zistení sa ciele škodlivej operácie väčšinou nachádzali v Brazílii, Indii, Indonézii a Francúzsku. Okrem toho sa domnievajú, že kyberzločinci stojaci za FakeCrack doteraz dokázali od svojich obetí odčerpať viac ako 50 000 dolárov v krypto aktívach.

Malvér dodaný v kampani FakeCrack prichádza na stroje obetí vo forme súborov ZIP. Archívy sú zašifrované bežným alebo jednoduchým heslom, ako napríklad 1234, ale stále je dostatočne účinné na to, aby antimalvérovým riešeniam zabránilo analyzovať obsah súboru. Po otvorení používatelia pravdepodobne nájdu v archíve jeden súbor s názvom „setup.exe“ alebo „cracksetuo.exe“.

Po aktivácii súboru sa spustí malvér v systéme. Prvým krokom hrozieb upustených v rámci FakeCrack je skenovanie počítača obete a zhromažďovanie súkromných informácií vrátane poverení účtu, údajov o kreditných/debetných kartách a podrobností z niekoľkých aplikácií pre krypto-peňaženky. Všetky extrahované informácie sú zabalené v zašifrovanom súbore ZIP a exfiltrované na servery Command-and-Control (C2, C&C) operácie. Výskumníci zistili, že dešifrovacie kľúče pre nahrané súbory sú v nich pevne zakódované, čo výrazne uľahčuje prístup k obsahu v nich.

Hrozby škodlivého softvéru FakeCrack ukázali dve zaujímavé techniky. Najprv na infikované systémy vypustili pomerne veľký, ale značne zahmlený skript. Hlavnou funkciou tohto skriptu je sledovanie schránky. Po zistení vhodnej adresy kryptopeňaženky uloženej v schránke ju malvér nahradí adresou peňaženky kontrolovanej hackermi. Po troch úspešných zmenách bude skript odstránený.

Druhá technika zahŕňa nastavenie IP adresy, ktorá stiahne poškodený skript PAC (Proxy Auto-Configuration). Keď sa obete pokúsia navštíviť ktorúkoľvek z cieľových domén, ich prevádzka bude presmerovaná na proxy server kontrolovaný kyberzločincami. Táto technika je dosť neobvyklá, pokiaľ ide o krypto-kradačov, ale umožňuje hackerom dlhodobo pozorovať prevádzku svojich obetí s minimálnou pravdepodobnosťou, že si ich všimnú.