Software pirateado é sinônimo de roubo de dados pessoais e moedas digitais

Pavel Novak 13 jun 2022

Campanha FakeCrack está lucrando com usuários que baixam software crackeado e têm seus dados pessoais confidenciais roubados pelos cibercriminosos.

Os usuários que baixam softwares crackeados correm o risco de dados pessoais confidenciais serem roubados por hackers.

Você está interessado em baixar software gratuito e crackeado? Se sim, você deve saber no que está se metendo.

Quando você acidentalmente baixa um software malicioso crackeado, os invasores podem acessar tudo o que você tem no seu PC e você pode ficar sem seus dados pessoais confidenciais e até mesmo sem o software que estava tentando baixar. É exatamente assim que a recém-surgida campanha FakeCrack está fazendo os seus negócios, seduzindo os usuários a baixar falsos softwares crackeados. Os cibercriminosos por trás dessa campanha utilizaram uma vasta infraestrutura para espalhar malwares e roubar dados pessoais e confidenciais, incluindo ativos criptográficos*. Quer saber mais? Vamos mergulhar mais fundo.

Infraestrutura de entrega

A cadeia de infecção começa em sites duvidosos que supostamente oferecem versões crackeadas de softwares populares como jogos, suítes de escritório ou programas para download de conteúdo multimídia. Todos esses sites são colocados nas posições mais altas nos resultados dos mecanismos de pesquisa. A grande maioria dos resultados na primeira página leva a sites de crack comprometidos, e os usuários acabam baixando malwares em vez do software. Esta técnica é conhecida como o mecanismo Black SEO que usa técnicas de indexação dos mecanismos de busca.

Ao clicar em um link da pesquisa, o link leva a uma extensa infraestrutura que distribui malwares. O que é interessante nessa infraestrutura é a sua escala. O usuário é redirecionado através de uma rede de domínios para a página de destino. Esses domínios têm um padrão semelhante e são registrados na Cloudflare. O primeiro tipo de domínio usa o padrão freefilesXX.xyz , onde XX são dígitos. Esse domínio geralmente serve apenas como redirecionador. O redirecionamento leva a outra página usando o cfd do domínio de nível superior. Esses cfd servem como um redirecionador, bem como uma página de destino. No geral, a Avast protegeu cerca de 10.000 usuários de serem infectados diariamente, localizados principalmente no Brasil, Índia, Indonésia e França.

Mapa múndi mostrando usuários protegidos pelo Avast contra o malware FakeCrack

Figura 1: Usuários protegidos em toda a infraestrutura de entrega (período de 1 dia)

A página de destino tem diferentes visuais. Todos eles oferecem um link para uma plataforma legítima de compartilhamento de arquivos, que contém um arquivo ZIP de malware. Os serviços de compartilhamento de arquivos abusados ​​nesta campanha incluem, por exemplo, o compartilhamento de arquivos japonês filesend.jp ou mediafire.com. Um exemplo da página de destino é mostrado abaixo

Página de download de software pirateado infectado com o FakeCrack

Figura 2: Página de destino

Entrega do malware

Após acessar o link fornecido, o arquivo ZIP é baixado. Esse ZIP é criptografado com uma senha simples (geralmente 1234) que impede que o arquivo seja analisado pelo software antivírus. Esse ZIP geralmente contém um único arquivo executável, normalmente denominado setup.exe ou cracksetup.exe. Coletamos oito executáveis ​​diferentes que foram distribuídos por esta campanha.

Essas oito amostras exibem atividades dos cibercriminosos, concentrando-se em escanear o PC do usuário e coletar informações privadas dos navegadores, como senhas ou dados de cartão de crédito. Dados de carteiras eletrônicas também estão sendo coletados. Os dados são enviados em formato ZIP criptografado para servidores C2. No entanto, a chave de criptografia do arquivo ZIP é codificada no binário, portanto, obter o conteúdo não é difícil. O ZIP criptografado contém todas as informações mencionadas anteriormente, como as informações sobre o sistema, software instalado, captura de tela e dados coletados do navegador, incluindo senhas ou dados privados de extensões de criptografia

Dados filtrados em formato ZIP pelo malware FakeCrack

Figura 3: Dados filtrados em formato ZIP

Senha compactada codificada no binário do malware FakeCrack

Figura 4: Senha compactada codificada no binário

Técnicas de persistência

O malware ladrão usa duas técnicas de persistência. Ambas as técnicas foram direcionadas exclusivamente para roubar informações relacionadas a criptografia, que agora descreveremos com mais detalhes.

Técnica do trocador de área de transferência

Além de roubar informações pessoais confidenciais conforme descrito acima, algumas das amostras também preservaram a persistência baixando dois arquivos adicionais. O compilador AutoIt para o caso de não estar presente no computador do usuário e o script AutoIt. Geralmente, o script é baixado na pasta AppData\Roaming\ServiceGet\ e agendado para ser executado automaticamente num horário predefinido.

Este script é bastante extenso e muito ofuscado, mas após um exame mais detalhado, ele faz apenas algumas operações elementares. Por um lado, verifica periodicamente o conteúdo da área de transferência. Quando detecta a presença do endereço da carteira criptográfica na área de transferência, ele altera o valor da área de transferência para o endereço da carteira sob o controle do invasor. O mecanismo de proteção também exclui o script após três alterações bem-sucedidas do endereço da carteira na área de transferência. A figura abaixo mostra a versão desofuscada da parte do script.

A função periodic_clipboard_checks (verificações periódicas da área de transferência, em tradução livre) está sendo chamada em um loop infinito. Cada chamada da check_clipboard verifica a presença do endereço da carteira na área de transferência e altera o seu conteúdo para o endereço controlado do invasor. O invasor está preparado para roubar várias carteiras de criptomoedas, desde Terra, Nano, Ronin ou Bitcoincash. Os parâmetros numéricos na check_clipboard não são importantes e servem apenas para otimizações

Script AutoIt baixado ocultamente pelo malware FakeCrack

Figura 5: Script AutoIt baixado ocultamente

No total, identificamos 37 carteiras diferentes para várias criptomoedas. Algumas delas já estavam vazias, e não conseguimos identificar outras. No entanto, verificamos essas carteiras no blockchain e estimamos que o invasor ganhou pelo menos US$ 50.000. Além disso, se omitirmos a queda maciça no preço da criptomoeda Luna nos últimos dias, foram quase US$ 60.000 em aproximadamente um período de um mês.

Técnica de roubo de proxy

A segunda técnica interessante que observamos em relação a esta campanha foi o uso de proxies para roubar credenciais e outros dados confidenciais de alguns mercados de criptomoedas. Os invasores conseguiram configurar um endereço IP para baixar um script de configuração automática de proxy (PAC) malicioso. Ao definir esse endereço IP no sistema, toda vez que a vítima acessa qualquer um dos domínios listados, o tráfego é redirecionado para um servidor proxy sob o controle do invasor.

Esse tipo de ataque é bastante incomum no contexto da atividade de roubo de criptografia; no entanto, é muito fácil escondê-lo do usuário, e o invasor pode observar o tráfego da vítima em determinados domínios por um bom tempo sem ser notado. A figura abaixo mostra o conteúdo do script de configuração automática de proxy configurado por um invasor. O tráfego para os criptomercados Binance, Huobi e OKX está sendo redirecionado para o endereço IP controlado do invasor.

Script de configuração automática de proxy feita pelo malware FakeCrack

Figura 6: Script de configuração automática de proxy

Como remover as configurações de proxy

Esta campanha é perigosa principalmente devido à sua extensão. Como foi mostrado no início, o invasor conseguiu colocar os sites comprometidos em posições altas nos resultados de pesquisa. O número de usuários protegidos também mostra que essa campanha é bastante difundida. Se você suspeitar que seu computador foi comprometido, verifique as configurações de proxy e remova as configurações maliciosas usando o procedimento a seguir.

As configurações de proxy devem ser removidas manualmente usando as seguintes diretrizes:

Remova a chave de registro AutoConfigURL no Registro do Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet

Alternativamente, usando a interface do Windows:

  • Clique no Menu Iniciar.
  • Digite Configurações e aperte enter.
  • Vá para Rede e Internet e, depois, Proxy.
  • Exclua o endereço do script e clique no botão Salvar.
  • Desative a opção “Usar um servidor proxy”.

Para esta campanha, os cibercriminosos abusam das marcas de softwares populares, promovendo versões ilegais e aparentemente quebradas para atrair os usuários a baixar o malware. Os nomes das marcas abusadas para esta campanha são, por exemplo, "CCleaner Pro Windows", mas também "Microsoft Office", "Movavi Video Editor 22.2.1 Crack" "IDM Download gratuito da versão completa com chave serial" "Movavi Video Editor 22.2.1 Crack" "Crack Office 2016 Full Crack + Product Key (Activator) 2022". Recomendamos que os usuários sempre usem as versões oficiais do software em vez das versões crackeadas.

Agradecemos a Martin Hanzlik, um estagiário do ensino médio que participou do rastreamento desta campanha e contribuiu significativamente para esta postagem no blog.

IoC

Infraestrutura de entrega

goes12by[.]cfd

baed92all[.]cfd

aeddkiu6745q[.]cfd

14redirect[.]cfd

lixn62ft[.]cfd

kohuy31ng[.]cfd

wae23iku[.]cfd

yhf78aq[.]cfd

xzctn14il[.]cfd

mihatrt34er[.]cfd

oliy67sd[.]cfd

er67ilky[.]cfd

bny734uy[.]cfd

uzas871iu[.]cfd

dert1mku[.]cfd

fr56cvfi[.]cfd

asud28cv[.]cfd

freefiles34[.]xyz

freefiles33[.]xyz

wrtgh56mh[.]cfd

Malware

SHA-256

bcb1c06505c8df8cf508e834be72a8b6adf67668fcf7076cd058b37cf7fc8aaf

c283a387af09f56ba55d92a796edcfa60678e853b384f755313bc6f5086be4ee

ac47ed991025f58745a3ca217b2091e0a54cf2a99ddb0c98988ec7e5de8eac6a

5423be642e040cfa202fc326027d878003128bff5dfdf4da6c23db00b5942055

c283a387af09f56ba55d92a796edcfa60678e853b384f755313bc6f5086be4ee

9254436f13cac035d797211f59754951b07297cf1f32121656b775124547dbe7

5423be642e040cfa202fc326027d878003128bff5dfdf4da6c23db00b5942055

9d66a6a6823aea1b923f0c200dfecb1ae70839d955e11a3f85184b8e0b16c6f8

Stealer C2 and exfiltration servers

IP Address

185[.]250.148.76

45[.]135.134.211

194[.]180.174.180

45[.]140.146.169

37[.]221.67.219

94[.]140.114.231

Clipboard changer script

SHA-256

97f1ae6502d0671f5ec9e28e41cba9e9beeffcc381aae299f45ec3fcc77cdd56

Proxy server malicioso

IP

104[.]155.207.188

 

--> -->