Zlonamerna programska oprema FakeCrack

Kibernetski kriminalci so vzpostavili obsežno infrastrukturo s ciljem, da svojim žrtvam dostavijo zlonamerno programsko opremo za krajo informacij in kripto. Grožnje zlonamerne programske opreme so uporabnikom predstavljene kot razbite različice zakonitih programskih izdelkov, videoiger in drugih licenčnih aplikacij. Da bi našli te zlomljene različice, uporabniki obiščejo različna dvomljiva spletna mesta. Vendar pa so izvajalci te kampanje uporabili tudi tehnike črnega SEO, tako da se njihova poškodovana spletna mesta pojavljajo med najboljšimi rezultati, ki jih zagotavljajo iskalniki.

Podrobnosti o kampanji in zlonamerni programski opremi, ki jo prinaša, so razkrili v poročilu strokovnjaki za kibernetsko varnost, ki sledijo pod imenom FakeCrack. Po njihovih ugotovitvah so bile tarče škodljive operacije večinoma v Braziliji, Indiji, Indoneziji in Franciji. Poleg tega menijo, da so kibernetski kriminalci, ki stojijo za FakeCrackom, doslej uspeli iz svojih žrtev izčrpati več kot 50.000 dolarjev kripto sredstev.

Zlonamerna programska oprema, dostavljena v kampanji FakeCrack, prispe na stroje žrtev v obliki datotek ZIP. Arhivi so šifrirani s skupnim ali preprostim geslom, kot je 1234, vendar je še vedno dovolj učinkovito, da prepreči, da bi rešitve proti zlonamerni programski opremi analizirale vsebino datoteke. Ko se odpre, bodo uporabniki v arhivu verjetno našli eno samo datoteko z imenom 'setup.exe' ali 'cracksetuo.exe'.

Ko je datoteka aktivirana, bo v sistemu zagnala zlonamerno programsko opremo. Prvi korak groženj, ki so bile opuščene kot del FakeCrack, je skeniranje žrtvinega računalnika in zbiranje zasebnih podatkov, vključno s poverilnicami računa, podatki o kreditnih/debetnih karticah in podatki iz več aplikacij za kriptovalute. Vse ekstrahirane informacije so zapakirane v šifrirano datoteko ZIP in eksfiltrirane v strežnike za upravljanje in nadzor (C2, C&C) operacije. Raziskovalci so odkrili, da so ključi za dešifriranje naloženih datotek v njih trdo kodirani, kar olajša dostop do vsebine v njih.

Grožnje zlonamerne programske opreme FakeCrack so pokazale dve zanimivi tehniki. Najprej so na okužene sisteme spustili precej velik, a močno prikrit skript. Glavna funkcija tega skripta je spremljanje odložišča. Ko zazna ustrezen naslov kriptodenarnice, shranjen v odložišče, ga zlonamerna programska oprema nadomesti z naslovom denarnice, ki jo nadzorujejo hekerji. Po treh uspešnih spremembah bo skript izbrisan.

Druga tehnika vključuje nastavitev naslova IP, ki prenese poškodovan skript PAC (samodejna konfiguracija proxyja). Ko žrtve poskušajo obiskati katero koli od ciljnih domen, bi bil njihov promet preusmerjen na proxy strežnik, ki ga nadzorujejo kibernetski kriminalci. Ta tehnika je dokaj nenavadna, ko gre za kraje kriptovalut, vendar hekerjem omogoča, da opazujejo promet svojih žrtev v daljšem časovnem obdobju z minimalnimi možnostmi, da jih opazijo.