FakeCrack Malware
Nagtatag ang mga cybercriminal ng malakihang imprastraktura na may layuning maghatid ng malware sa pagnanakaw ng impormasyon at pagnanakaw ng crypto sa kanilang mga biktima. Ang mga banta ng malware ay ipinakita sa mga user bilang mga basag na bersyon ng mga lehitimong produkto ng software, videogame at iba pang mga lisensyadong application. Upang mahanap ang mga basag na bersyong ito, binibisita ng mga user ang iba't ibang mga kahina-hinalang website. Gayunpaman, ang mga operator ng kampanyang ito ay gumamit din ng mga diskarte sa Black SEO upang ang kanilang mga sirang website ay lumabas sa mga nangungunang resulta na inihatid ng mga search engine.
Ang mga detalye tungkol sa kampanya at ang malware na inihahatid nito ay inihayag sa isang ulat ng mga eksperto sa cybersecurity, na sumusubaybay sa ilalim ng pangalang FakeCrack. Ayon sa kanilang mga natuklasan, ang mga target ng mapaminsalang operasyon ay karamihan ay matatagpuan sa Brazil, India, Indonesia at France. Bilang karagdagan, naniniwala sila na ang mga cybercriminal sa likod ng FakeCrack ay nakapag-siphon ng higit sa $50, 000 sa mga asset ng crypto mula sa kanilang mga biktima.
Ang malware na inihatid sa kampanyang FakeCrack ay dumarating sa mga makina ng mga biktima sa anyo ng mga ZIP file. Ang mga archive ay naka-encrypt gamit ang isang karaniwan o simpleng password, tulad ng 1234 ngunit ito ay sapat pa rin upang maiwasan ang mga anti-malware na solusyon sa pagsusuri sa mga nilalaman ng file. Kapag binuksan, ang mga user ay malamang na makahanap ng isang file na pinangalanang 'setup.exe' o 'cracksetuo.exe' sa loob ng archive.
Kapag na-activate na ang file, isasagawa nito ang malware sa system. Ang unang hakbang ng mga pagbabanta na ibinaba bilang bahagi ng FakeCrack ay ang pag-scan sa PC ng biktima at mangolekta ng pribadong impormasyon, kabilang ang mga kredensyal ng account, data ng credit/debit card at mga detalye mula sa ilang mga aplikasyon ng crypto-wallet. Ang lahat ng nakuhang impormasyon ay naka-package sa loob ng isang naka-encrypt na ZIP file at na-exfiltrate sa Command-and-Control (C2, C&C) server ng operasyon. Natuklasan ng mga mananaliksik na ang mga decryption key para sa mga na-upload na file ay naka-hardcode sa kanila, na ginagawang mas madali ang pag-access sa nilalaman sa loob ng mga ito.
Ang mga banta ng FakeCrack malware ay nagpakita ng dalawang kawili-wiling pamamaraan. Una, nag-drop sila ng isang medyo malaki ngunit mabigat na obfuscated na script sa mga nahawaang system. Ang pangunahing function ng script na ito ay upang subaybayan ang clipboard. Sa pagtukoy ng angkop na crypto-wallet address na naka-save sa clipboard, papalitan ito ng malware ng address ng wallet na kinokontrol ng mga hacker. Pagkatapos ng tatlong matagumpay na pagbabago, tatanggalin ang script.
Kasama sa pangalawang pamamaraan ang pagse-set up ng IP address na nagda-download ng sirang PAC (Proxy Auto-Configuration) na script. Kapag sinubukan ng mga biktima na bisitahin ang alinman sa mga naka-target na domain, ang kanilang trapiko ay ire-redirect sa isang proxy server na kinokontrol ng mga cybercriminal. Ang diskarteng ito ay medyo hindi karaniwan pagdating sa mga crypto-stealers, ngunit pinapayagan nito ang mga hacker na obserbahan ang trapiko ng kanilang mga biktima sa mahabang panahon, na may kaunting pagkakataong mapansin.
