Phần mềm độc hại FakeCrack
Tội phạm mạng đã thiết lập một cơ sở hạ tầng quy mô lớn với mục tiêu cung cấp phần mềm độc hại ăn cắp thông tin và ăn cắp tiền điện tử cho nạn nhân của chúng. Các mối đe dọa phần mềm độc hại được hiển thị cho người dùng dưới dạng phiên bản bẻ khóa của các sản phẩm phần mềm hợp pháp, trò chơi điện tử và các ứng dụng được cấp phép khác. Để tìm các phiên bản crack này, người dùng truy cập các trang web đáng ngờ khác nhau. Tuy nhiên, các nhà điều hành chiến dịch này cũng đã sử dụng các kỹ thuật SEO đen để các trang web bị lỗi của họ xuất hiện trong số các kết quả hàng đầu được cung cấp bởi các công cụ tìm kiếm.
Thông tin chi tiết về chiến dịch và phần mềm độc hại mà nó cung cấp đã được tiết lộ trong một báo cáo của các chuyên gia an ninh mạng, những người theo dõi dưới tên FakeCrack. Theo phát hiện của họ, các mục tiêu của hoạt động có hại chủ yếu nằm ở Brazil, Ấn Độ, Indonesia và Pháp. Ngoài ra, họ tin rằng tội phạm mạng đằng sau FakeCrack cho đến nay đã tìm cách bòn rút hơn 50.000 đô la tài sản tiền điện tử từ các nạn nhân của chúng.
Phần mềm độc hại được phân phối trong chiến dịch FakeCrack đến máy của nạn nhân dưới dạng tệp ZIP. Các tệp lưu trữ được mã hóa bằng mật khẩu phổ biến hoặc đơn giản, chẳng hạn như 1234 nhưng vẫn đủ hiệu quả để ngăn các giải pháp chống phần mềm độc hại phân tích nội dung của tệp. Khi mở, người dùng có thể tìm thấy một tệp duy nhất có tên 'setup.exe' hoặc 'cracketuo.exe' bên trong kho lưu trữ.
Khi tệp được kích hoạt, nó sẽ thực thi phần mềm độc hại trên hệ thống. Bước đầu tiên của các mối đe dọa bị loại bỏ như một phần của FakeCrack là quét PC của nạn nhân và thu thập thông tin cá nhân, bao gồm thông tin đăng nhập tài khoản, dữ liệu thẻ tín dụng / thẻ ghi nợ và thông tin chi tiết từ một số ứng dụng ví tiền điện tử. Tất cả thông tin trích xuất được đóng gói bên trong một tệp ZIP được mã hóa và chuyển sang máy chủ Command-and-Control (C2, C&C) của hoạt động. Các nhà nghiên cứu phát hiện ra rằng các khóa giải mã cho các tệp tải lên được mã hóa cứng vào chúng, điều này giúp việc truy cập nội dung bên trong chúng dễ dàng hơn nhiều.
Các mối đe dọa phần mềm độc hại FakeCrack thể hiện hai kỹ thuật thú vị. Đầu tiên, họ đã thả một tập lệnh khá lớn nhưng bị xáo trộn nặng nề trên các hệ thống bị nhiễm. Chức năng chính của script này là theo dõi clipboard. Khi phát hiện địa chỉ ví tiền điện tử phù hợp được lưu trong khay nhớ tạm, phần mềm độc hại sẽ thay thế địa chỉ đó bằng địa chỉ ví do tin tặc kiểm soát. Sau ba lần thay đổi thành công, tập lệnh sẽ bị xóa.
Kỹ thuật thứ hai liên quan đến việc thiết lập địa chỉ IP tải xuống tập lệnh PAC (Proxy Auto-Configuration) bị hỏng. Khi nạn nhân cố gắng truy cập vào bất kỳ miền nào được nhắm mục tiêu, lưu lượng truy cập của họ sẽ được chuyển hướng đến một máy chủ proxy do tội phạm mạng kiểm soát. Kỹ thuật này khá bất thường khi nói đến những kẻ đánh cắp tiền điện tử, nhưng nó cho phép tin tặc quan sát lưu lượng truy cập của nạn nhân trong thời gian dài, với cơ hội bị chú ý là rất ít.
