FakeCrack-Malware
Cyberkriminelle haben eine groß angelegte Infrastruktur mit dem Ziel aufgebaut, ihren Opfern Malware zum Diebstahl von Informationen und Kryptos zu liefern. Die Malware-Bedrohungen werden den Benutzern als gecrackte Versionen legitimer Softwareprodukte, Videospiele und anderer lizenzierter Anwendungen präsentiert. Um diese gecrackten Versionen zu finden, besuchen Benutzer verschiedene dubiose Websites. Die Betreiber dieser Kampagne haben jedoch auch Black-SEO-Techniken eingesetzt, damit ihre beschädigten Websites unter den Top-Ergebnissen der Suchmaschinen erscheinen.
Details zur Kampagne und der von ihr gelieferten Malware wurden in einem Bericht der Cybersicherheitsexperten enthüllt, die unter dem Namen FakeCrack verfolgen. Nach ihren Erkenntnissen befanden sich die Ziele der schädlichen Operation hauptsächlich in Brasilien, Indien, Indonesien und Frankreich. Darüber hinaus glauben sie, dass es den Cyberkriminellen hinter FakeCrack bisher gelungen ist, Krypto-Assets im Wert von über 50.000 US-Dollar von ihren Opfern abzuschöpfen.
Die im Rahmen der FakeCrack-Kampagne gelieferte Malware gelangt in Form von ZIP-Dateien auf die Rechner der Opfer. Die Archive werden mit einem gemeinsamen oder einfachen Passwort wie 1234 verschlüsselt, aber es ist immer noch effizient genug, um zu verhindern, dass Anti-Malware-Lösungen den Inhalt der Datei analysieren. Beim Öffnen finden Benutzer wahrscheinlich eine einzelne Datei mit dem Namen „setup.exe“ oder „cracksetuo.exe“ im Archiv.
Sobald die Datei aktiviert ist, führt sie die Malware auf dem System aus. Der erste Schritt der im Rahmen von FakeCrack abgeworfenen Bedrohungen besteht darin, den PC des Opfers zu scannen und private Informationen zu sammeln, darunter Kontodaten, Kredit-/Debitkartendaten und Details aus mehreren Krypto-Wallet-Anwendungen. Alle extrahierten Informationen werden in eine verschlüsselte ZIP-Datei verpackt und auf die Command-and-Control-Server (C2, C&C) der Operation exfiltriert. Die Forscher entdeckten, dass die Entschlüsselungsschlüssel für die hochgeladenen Dateien in ihnen fest codiert sind, was den Zugriff auf die darin enthaltenen Inhalte erheblich erleichtert.
Die FakeCrack-Malware-Bedrohungen wiesen zwei interessante Techniken auf. Zuerst haben sie ein ziemlich großes, aber stark verschleiertes Skript auf den infizierten Systemen abgelegt. Die Hauptfunktion dieses Skripts ist die Überwachung der Zwischenablage. Beim Erkennen einer geeigneten Krypto-Wallet-Adresse, die in der Zwischenablage gespeichert ist, ersetzt die Malware diese durch die Adresse einer von den Hackern kontrollierten Brieftasche. Nach drei erfolgreichen Änderungen wird das Skript gelöscht.
Bei der zweiten Technik wird eine IP-Adresse eingerichtet, die ein beschädigtes PAC-Skript (Proxy Auto-Configuration) herunterlädt. Wenn Opfer versuchen, eine der Zieldomänen zu besuchen, wird ihr Datenverkehr an einen Proxy-Server umgeleitet, der von den Cyberkriminellen kontrolliert wird. Diese Technik ist ziemlich ungewöhnlich, wenn es um Kryptodiebe geht, aber sie ermöglicht es den Hackern, den Datenverkehr ihrer Opfer über längere Zeiträume zu beobachten, mit minimalen Chancen, bemerkt zu werden.
