FakeCrack Malware
Cyberbrottslingar har etablerat en storskalig infrastruktur med målet att leverera skadlig programvara för informationsstöld och kryptostöld till sina offer. Hoten med skadlig programvara presenteras för användare som knäckta versioner av legitima mjukvaruprodukter, videospel och andra licensierade applikationer. För att hitta dessa knäckta versioner besöker användare olika tvivelaktiga webbplatser. Men operatörerna av denna kampanj har också använt svart SEO-tekniker så att deras korrupta webbplatser visas bland de bästa resultaten som levereras av sökmotorer.
Detaljer om kampanjen och skadlig programvara som den levererar avslöjades i en rapport från cybersäkerhetsexperter, som spårar under namnet FakeCrack. Enligt deras resultat var målen för den skadliga operationen mestadels lokaliserade i Brasilien, Indien, Indonesien och Frankrike. Dessutom tror de att cyberbrottslingarna bakom FakeCrack hittills har lyckats ta ut över 50 000 dollar i kryptotillgångar från sina offer.
Skadlig programvara som levereras i FakeCrack-kampanjen anländer till offrens maskiner i form av ZIP-filer. Arkiven krypteras med ett vanligt eller enkelt lösenord, till exempel 1234, men det är fortfarande tillräckligt effektivt för att förhindra anti-malware-lösningar från att analysera innehållet i filen. När den öppnas kommer användare sannolikt att hitta en enda fil med namnet 'setup.exe' eller 'cracksetuo.exe' i arkivet.
När filen är aktiverad kommer den att köra skadlig programvara på systemet. Det första steget av de hot som släpptes som en del av FakeCrack är att skanna offrets dator och samla in privat information, inklusive kontouppgifter, kredit-/betalkortsdata och detaljer från flera kryptoplånboksapplikationer. All extraherad information paketeras i en krypterad ZIP-fil och exfiltreras till operationens Command-and-Control-servrar (C2, C&C). Forskarna upptäckte att dekrypteringsnycklarna för de uppladdade filerna är hårdkodade i dem, vilket gör det mycket lättare att komma åt innehållet i dem.
Skadliga hot från FakeCrack uppvisade två intressanta tekniker. Först släppte de ett ganska stort men kraftigt obfuskerat skript på de infekterade systemen. Huvudfunktionen för detta skript är att övervaka urklippet. När en lämplig kryptoplånboksadress har hittats sparad i urklippet kommer skadlig programvara att ersätta den med adressen till en plånbok som kontrolleras av hackarna. Efter tre lyckade ändringar kommer skriptet att raderas.
Den andra tekniken innebär att ställa in en IP-adress som laddar ner ett skadat PAC-skript (Proxy Auto-Configuration). När offren försöker besöka någon av de riktade domänerna, omdirigeras deras trafik till en proxyserver som kontrolleras av cyberbrottslingarna. Den här tekniken är ganska ovanlig när det kommer till kryptostöldare, men den tillåter hackarna att observera trafiken av sina offer under långa perioder, med minimala chanser att bli uppmärksammade.
