Зловмисне програмне забезпечення FakeCrack

Кіберзлочинці створили масштабну інфраструктуру з метою доставки зловмисного програмного забезпечення для крадіжки інформації та криптографії своїм жертвам. Загрози зловмисного програмного забезпечення представляють користувачам у вигляді зламаних версій законних програмних продуктів, відеоігор та інших ліцензованих програм. Щоб знайти ці зламані версії, користувачі відвідують різні сумнівні веб-сайти. Однак оператори цієї кампанії також використовували методи чорного SEO, щоб їхні пошкоджені веб-сайти відображалися серед найкращих результатів пошукових систем.

Подробиці про кампанію та шкідливе програмне забезпечення, яке вона доставляє, були розкриті у звіті експертів з кібербезпеки, які відстежують під назвою FakeCrack. Згідно з їхніми висновками, цілі шкідливої операції здебільшого були розташовані в Бразилії, Індії, Індонезії та Франції. Крім того, вони вважають, що кіберзлочинцям, які стоять за FakeCrack, наразі вдалося витягнути у своїх жертв понад 50 000 доларів криптовалютних активів.

Шкідливе програмне забезпечення, доставлене в рамках кампанії FakeCrack, надходить на машини жертв у вигляді файлів ZIP. Архіви шифруються звичайним або простим паролем, таким як 1234, але він все ще досить ефективний, щоб запобігти аналізу вмісту файлу засобами захисту від шкідливих програм. Відкрившись, користувачі, ймовірно, знайдуть в архіві один файл під назвою «setup.exe» або «cracksetuo.exe».

Після того, як файл буде активований, він запустить зловмисне програмне забезпечення в системі. Першим кроком із загроз, які були зняті в рамках FakeCrack, є сканування комп’ютера жертви та збір приватної інформації, включаючи облікові дані облікового запису, дані кредитної/дебетової картки та деталі з кількох програм крипто-гаманців. Вся витягнута інформація упаковується в зашифрований ZIP-файл і передається на сервери командування та керування (C2, C&C) операції. Дослідники виявили, що ключі дешифрування для завантажених файлів жорстко закодовані в них, що значно полегшує доступ до вмісту всередині них.

Загрози зловмисного програмного забезпечення FakeCrack показали дві цікаві методи. По-перше, вони скинули досить великий, але сильно обфусцований скрипт на заражені системи. Основною функцією цього скрипту є моніторинг буфера обміну. Виявивши відповідну адресу крипто-гаманця, збережену в буфері обміну, зловмисне програмне забезпечення замінить її адресою гаманця, контрольованого хакерами. Після трьох успішних змін скрипт буде видалено.

Другий метод передбачає налаштування IP-адреси, яка завантажує пошкоджений сценарій PAC (автоматична конфігурація проксі). Коли жертви намагаються відвідати будь-який із цільових доменів, їхній трафік буде перенаправлено на проксі-сервер, контрольований кіберзлочинцями. Ця техніка досить незвичайна, коли мова йде про злодіїв криптовалют, але вона дозволяє хакерам спостерігати за трафіком своїх жертв протягом тривалого періоду часу з мінімальними шансами бути поміченими.