มัลแวร์ FakeCrack

อาชญากรไซเบอร์ได้จัดตั้งโครงสร้างพื้นฐานขนาดใหญ่โดยมีเป้าหมายในการส่งมัลแวร์ขโมยข้อมูลและขโมยข้อมูลการเข้ารหัสลับไปยังเหยื่อของพวกเขา ภัยคุกคามจากมัลแวร์จะแสดงต่อผู้ใช้ในรูปแบบผลิตภัณฑ์ซอฟต์แวร์ที่ถูกต้องตามกฎหมาย วิดีโอเกม และแอปพลิเคชันที่ได้รับอนุญาตอื่นๆ หากต้องการค้นหาเวอร์ชันที่แตกเหล่านี้ ผู้ใช้ไปที่เว็บไซต์ที่น่าสงสัยต่างๆ อย่างไรก็ตาม ผู้ดำเนินการแคมเปญนี้ยังใช้เทคนิค Black SEO เพื่อให้เว็บไซต์ที่เสียหายปรากฏในผลลัพธ์อันดับต้นๆ ที่ส่งโดยเครื่องมือค้นหา

รายละเอียดเกี่ยวกับแคมเปญและมัลแวร์ที่ส่งมาถูกเปิดเผยในรายงานโดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ซึ่งติดตามภายใต้ชื่อ FakeCrack ผลการวิจัยพบว่า เป้าหมายของปฏิบัติการที่เป็นอันตรายส่วนใหญ่ตั้งอยู่ในบราซิล อินเดีย อินโดนีเซีย และฝรั่งเศส นอกจากนี้ พวกเขาเชื่อว่าอาชญากรไซเบอร์ที่อยู่เบื้องหลัง FakeCrack สามารถดูดเอาทรัพย์สิน crypto มูลค่ากว่า 50,000 ดอลลาร์ออกจากเหยื่อของพวกเขาได้แล้ว

มัลแวร์ที่ส่งในแคมเปญ FakeCrack มาถึงเครื่องของเหยื่อในรูปแบบไฟล์ ZIP ไฟล์เก็บถาวรนั้นเข้ารหัสด้วยรหัสผ่านทั่วไปหรือรหัสผ่านธรรมดา เช่น 1234 แต่ยังคงมีประสิทธิภาพเพียงพอที่จะป้องกันโซลูชันป้องกันมัลแวร์ไม่ให้วิเคราะห์เนื้อหาของไฟล์ เมื่อเปิดขึ้นมา ผู้ใช้มักจะพบไฟล์เดียวที่ชื่อ 'setup.exe' หรือ 'cracksetuo.exe' ภายในไฟล์เก็บถาวร

เมื่อไฟล์ถูกเปิดใช้งาน มันจะรันมัลแวร์บนระบบ ขั้นตอนแรกของภัยคุกคามที่เกิดจาก FakeCrack คือการสแกนพีซีของเหยื่อและรวบรวมข้อมูลส่วนตัว ซึ่งรวมถึงข้อมูลประจำตัวของบัญชี ข้อมูลบัตรเครดิต/เดบิต และรายละเอียดจากแอปพลิเคชันกระเป๋าสตางค์เข้ารหัสลับต่างๆ ข้อมูลที่แยกออกมาทั้งหมดจะบรรจุอยู่ในไฟล์ ZIP ที่เข้ารหัสและแยกออกไปยังเซิร์ฟเวอร์ Command-and-Control (C2, C&C) ของการดำเนินการ นักวิจัยค้นพบว่าคีย์ถอดรหัสสำหรับไฟล์ที่อัพโหลดนั้นถูกฮาร์ดโค้ดไว้ ซึ่งทำให้การเข้าถึงเนื้อหาภายในนั้นง่ายขึ้นมาก

ภัยคุกคามจากมัลแวร์ FakeCrack แสดงเทคนิคที่น่าสนใจสองอย่าง อย่างแรก พวกเขาทิ้งสคริปต์ที่ค่อนข้างใหญ่แต่ทำให้สับสนอย่างมากในระบบที่ติดไวรัส หน้าที่หลักของสคริปต์นี้คือการตรวจสอบคลิปบอร์ด เมื่อตรวจพบที่อยู่กระเป๋าสตางค์เข้ารหัสลับที่เหมาะสมซึ่งบันทึกไว้ในคลิปบอร์ด มัลแวร์จะแทนที่ด้วยที่อยู่ของกระเป๋าเงินที่ควบคุมโดยแฮกเกอร์ หลังจากการเปลี่ยนแปลงสำเร็จสามครั้ง สคริปต์จะถูกลบ

เทคนิคที่สองเกี่ยวข้องกับการตั้งค่าที่อยู่ IP ที่ดาวน์โหลดสคริปต์ PAC (การกำหนดค่าอัตโนมัติของพร็อกซี) ที่เสียหาย เมื่อเหยื่อพยายามเยี่ยมชมโดเมนเป้าหมาย การรับส่งข้อมูลของพวกเขาจะถูกเปลี่ยนเส้นทางไปยังพร็อกซีเซิร์ฟเวอร์ที่ควบคุมโดยอาชญากรไซเบอร์ เทคนิคนี้ค่อนข้างผิดปกติเมื่อพูดถึงผู้ขโมยเงินดิจิตอล แต่ช่วยให้แฮกเกอร์สามารถสังเกตการรับส่งข้อมูลของเหยื่อของพวกเขาในช่วงเวลาที่ยาวนาน โดยมีโอกาสน้อยที่สุดที่จะถูกสังเกต