FakeCrack 恶意软件

网络犯罪分子已经建立了一个大规模的基础设施，其目标是向受害者提供信息窃取和加密窃取恶意软件。恶意软件威胁作为合法软件产品、视频游戏和其他许可应用程序的破解版本呈现给用户。为了找到这些破解版本，用户访问了各种可疑的网站。但是，该活动的运营商也使用了 Black SEO 技术，以便他们损坏的网站出现在搜索引擎提供的顶级结果中。

网络安全专家在一份名为 FakeCrack 的跟踪报告中披露了有关该活动及其传播的恶意软件的详细信息。根据他们的调查结果，有害行动的目标主要位于巴西、印度、印度尼西亚和法国。此外，他们认为 FakeCrack 背后的网络犯罪分子迄今已设法从受害者那里窃取了超过 50,000 美元的加密资产。

FakeCrack 活动中传递的恶意软件以 ZIP 文件的形式到达受害者的计算机。档案使用通用或简单的密码（例如 1234）加密，但它仍然足够有效，可以防止反恶意软件解决方案分析文件的内容。打开后，用户可能会在存档中找到一个名为“setup.exe”或“cracksetuo.exe”的文件。

一旦文件被激活，它将在系统上执行恶意软件。作为 FakeCrack 的一部分删除的威胁的第一步是扫描受害者的 PC 并收集私人信息，包括帐户凭据、信用卡/借记卡数据和来自多个加密钱包应用程序的详细信息。所有提取的信息都打包在一个加密的 ZIP 文件中，并被泄露到操作的命令和控制（C2、C&C）服务器。研究人员发现，上传文件的解密密钥被硬编码到其中，这使得访问其中的内容变得更加容易。

FakeCrack 恶意软件威胁展示了两种有趣的技术。首先，他们在受感染的系统上放置了一个相当大但经过严重混淆的脚本。该脚本的主要功能是监控剪贴板。在检测到剪贴板中保存的合适的加密钱包地址后，恶意软件会将其替换为黑客控制的钱包地址。 3次修改成功后，脚本将被删除。

第二种技术涉及设置下载损坏的 PAC（代理自动配置）脚本的 IP 地址。当受害者试图访问任何目标域时，他们的流量将被重定向到由网络犯罪分子控制的代理服务器。对于加密窃取者而言，这种技术相当不寻常，但它允许黑客长时间观察受害者的流量，而被注意到的可能性很小。