Threat Database Malware Logiciel malveillant FakeCrack

Logiciel malveillant FakeCrack

Les cybercriminels ont mis en place une infrastructure à grande échelle dans le but de fournir à leurs victimes des logiciels malveillants de vol d'informations et de vol de chiffrement. Les menaces de logiciels malveillants sont présentées aux utilisateurs comme des versions piratées de produits logiciels légitimes, de jeux vidéo et d'autres applications sous licence. Pour trouver ces versions piratées, les utilisateurs visitent divers sites Web douteux. Cependant, les opérateurs de cette campagne ont également utilisé des techniques de Black SEO afin que leurs sites Web corrompus apparaissent parmi les meilleurs résultats fournis par les moteurs de recherche.

Des détails sur la campagne et les logiciels malveillants qu'elle fournit ont été révélés dans un rapport des experts en cybersécurité, qui suivent sous le nom de FakeCrack. Selon leurs conclusions, les cibles de l'opération nuisible étaient principalement situées au Brésil, en Inde, en Indonésie et en France. En outre, ils pensent que les cybercriminels derrière FakeCrack ont jusqu'à présent réussi à siphonner plus de 50 000 $ en actifs cryptographiques de leurs victimes.

Le malware livré dans la campagne FakeCrack arrive sur les machines des victimes sous la forme de fichiers ZIP. Les archives sont cryptées avec un mot de passe commun ou simple, tel que 1234, mais il reste suffisamment efficace pour empêcher les solutions anti-malware d'analyser le contenu du fichier. Une fois ouvert, les utilisateurs sont susceptibles de trouver un seul fichier nommé "setup.exe" ou "cracksetuo.exe" dans l'archive.

Une fois le fichier activé, il exécutera le logiciel malveillant sur le système. La première étape des menaces abandonnées dans le cadre de FakeCrack consiste à analyser le PC de la victime et à collecter des informations privées, y compris les informations d'identification du compte, les données de carte de crédit/débit et les détails de plusieurs applications de crypto-portefeuille. Toutes les informations extraites sont regroupées dans un fichier ZIP crypté et exfiltrées vers les serveurs de commande et de contrôle (C2, C&C) de l'opération. Les chercheurs ont découvert que les clés de déchiffrement des fichiers téléchargés y sont codées en dur, ce qui facilite grandement l'accès au contenu qu'ils contiennent.

Les menaces de logiciels malveillants FakeCrack présentaient deux techniques intéressantes. Tout d'abord, ils ont laissé tomber un script assez volumineux mais fortement obscurci sur les systèmes infectés. La fonction principale de ce script est de surveiller le presse-papiers. Lors de la détection d'une adresse de portefeuille cryptographique appropriée enregistrée dans le presse-papiers, le logiciel malveillant la remplacera par l'adresse d'un portefeuille contrôlé par les pirates. Après trois modifications réussies, le script sera supprimé.

La deuxième technique consiste à configurer une adresse IP qui télécharge un script PAC (Proxy Auto-Configuration) corrompu. Lorsque les victimes tentent de visiter l'un des domaines ciblés, leur trafic est redirigé vers un serveur proxy contrôlé par les cybercriminels. Cette technique est assez inhabituelle lorsqu'il s'agit de crypto-stealers, mais elle permet aux pirates d'observer le trafic de leurs victimes sur de longues périodes, avec des chances minimes d'être remarqués.

Tendance

Le plus regardé

Chargement...