ФакеЦрацк Малваре

Сајбер криминалци су успоставили инфраструктуру великих размера са циљем да испоруче злонамерни софтвер за крађу информација и крипто-крађу својим жртвама. Претње од малвера се корисницима представљају као крековане верзије легитимних софтверских производа, видео игара и других лиценцираних апликација. Да би пронашли ове крековане верзије, корисници посећују разне сумњиве веб локације. Међутим, оператери ове кампање су такође користили Блацк СЕО технике тако да се њихове оштећене веб странице појављују међу најбољим резултатима које испоручују претраживачи.

Детаљи о кампањи и малверу који она испоручује откривени су у извештају стручњака за сајбер безбедност, који прате под именом ФакеЦрацк. Према њиховим сазнањима, мете штетне операције углавном су се налазиле у Бразилу, Индији, Индонезији и Француској. Поред тога, верују да су сајбер криминалци који стоје иза ФакеЦрацк-а до сада успели да извуку преко 50.000 долара крипто имовине од својих жртава.

Малвер испоручен у ФакеЦрацк кампањи стиже на машине жртава у облику ЗИП датотека. Архиве су шифроване уобичајеном или једноставном лозинком, као што је 1234, али је и даље довољно ефикасна да спречи анти-малвер решења да анализирају садржај датотеке. Када се отворе, корисници ће вероватно пронаћи једну датотеку под називом 'сетуп.еке' или 'црацксетуо.еке' унутар архиве.

Када се датотека активира, она ће покренути злонамерни софтвер на систему. Први корак од претњи које су одбачене као део ФакеЦрацк-а је скенирање рачунара жртве и прикупљање приватних информација, укључујући акредитиве налога, податке о кредитној/дебитној картици и детаље из неколико апликација за крипто-новчаник. Све екстраховане информације се пакују унутар шифроване ЗИП датотеке и ексфилтрирају на сервере за команду и контролу (Ц2, Ц&Ц) операције. Истраживачи су открили да су кључеви за дешифровање за отпремљене датотеке тврдо кодирани у њих, што чини приступ садржају у њима далеко лакшим.

ФакеЦрацк малвер претње су показале две занимљиве технике. Прво, избацили су прилично велику, али јако замућену скрипту на заражене системе. Главна функција ове скрипте је да надгледа међуспремник. Након што открије одговарајућу адресу крипто-новчаника сачувану у клипборду, малвер ће је заменити адресом новчаника који контролишу хакери. Након три успешне промене, скрипта ће бити избрисана.

Друга техника укључује подешавање ИП адресе која преузима оштећену ПАЦ (Проки Ауто-Цонфигуратион) скрипту. Када жртве покушају да посете било који од циљаних домена, њихов саобраћај би био преусмерен на прокси сервер који контролишу сајбер криминалци. Ова техника је прилично необична када су у питању крадљивци криптовалута, али омогућава хакерима да посматрају саобраћај својих жртава током дужег периода, уз минималне шансе да буду примећени.