Campanha FakeCrack está lucrando com usuários que baixam software crackeado e têm seus dados pessoais confidenciais roubados pelos cibercriminosos.
Os usuários que baixam softwares crackeados correm o risco de dados pessoais confidenciais serem roubados por hackers.
Você está interessado em baixar software gratuito e crackeado? Se sim, você deve saber no que está se metendo.
Quando você acidentalmente baixa um software malicioso crackeado, os invasores podem acessar tudo o que você tem no seu PC e você pode ficar sem seus dados pessoais confidenciais e até mesmo sem o software que estava tentando baixar. É exatamente assim que a recém-surgida campanha FakeCrack está fazendo os seus negócios, seduzindo os usuários a baixar falsos softwares crackeados. Os cibercriminosos por trás dessa campanha utilizaram uma vasta infraestrutura para espalhar malwares e roubar dados pessoais e confidenciais, incluindo ativos criptográficos*. Quer saber mais? Vamos mergulhar mais fundo.
A cadeia de infecção começa em sites duvidosos que supostamente oferecem versões crackeadas de softwares populares como jogos, suítes de escritório ou programas para download de conteúdo multimídia. Todos esses sites são colocados nas posições mais altas nos resultados dos mecanismos de pesquisa. A grande maioria dos resultados na primeira página leva a sites de crack comprometidos, e os usuários acabam baixando malwares em vez do software. Esta técnica é conhecida como o mecanismo Black SEO que usa técnicas de indexação dos mecanismos de busca.
Ao clicar em um link da pesquisa, o link leva a uma extensa infraestrutura que distribui malwares. O que é interessante nessa infraestrutura é a sua escala. O usuário é redirecionado através de uma rede de domínios para a página de destino. Esses domínios têm um padrão semelhante e são registrados na Cloudflare. O primeiro tipo de domínio usa o padrão freefilesXX.xyz , onde XX são dígitos. Esse domínio geralmente serve apenas como redirecionador. O redirecionamento leva a outra página usando o cfd do domínio de nível superior. Esses cfd servem como um redirecionador, bem como uma página de destino. No geral, a Avast protegeu cerca de 10.000 usuários de serem infectados diariamente, localizados principalmente no Brasil, Índia, Indonésia e França.
Figura 1: Usuários protegidos em toda a infraestrutura de entrega (período de 1 dia)
A página de destino tem diferentes visuais. Todos eles oferecem um link para uma plataforma legítima de compartilhamento de arquivos, que contém um arquivo ZIP de malware. Os serviços de compartilhamento de arquivos abusados nesta campanha incluem, por exemplo, o compartilhamento de arquivos japonês filesend.jp ou mediafire.com. Um exemplo da página de destino é mostrado abaixo
Figura 2: Página de destino
Após acessar o link fornecido, o arquivo ZIP é baixado. Esse ZIP é criptografado com uma senha simples (geralmente 1234) que impede que o arquivo seja analisado pelo software antivírus. Esse ZIP geralmente contém um único arquivo executável, normalmente denominado setup.exe ou cracksetup.exe. Coletamos oito executáveis diferentes que foram distribuídos por esta campanha.
Essas oito amostras exibem atividades dos cibercriminosos, concentrando-se em escanear o PC do usuário e coletar informações privadas dos navegadores, como senhas ou dados de cartão de crédito. Dados de carteiras eletrônicas também estão sendo coletados. Os dados são enviados em formato ZIP criptografado para servidores C2. No entanto, a chave de criptografia do arquivo ZIP é codificada no binário, portanto, obter o conteúdo não é difícil. O ZIP criptografado contém todas as informações mencionadas anteriormente, como as informações sobre o sistema, software instalado, captura de tela e dados coletados do navegador, incluindo senhas ou dados privados de extensões de criptografia
Figura 3: Dados filtrados em formato ZIP
Figura 4: Senha compactada codificada no binário
O malware ladrão usa duas técnicas de persistência. Ambas as técnicas foram direcionadas exclusivamente para roubar informações relacionadas a criptografia, que agora descreveremos com mais detalhes.
Além de roubar informações pessoais confidenciais conforme descrito acima, algumas das amostras também preservaram a persistência baixando dois arquivos adicionais. O compilador AutoIt para o caso de não estar presente no computador do usuário e o script AutoIt. Geralmente, o script é baixado na pasta AppData\Roaming\ServiceGet\ e agendado para ser executado automaticamente num horário predefinido.
Este script é bastante extenso e muito ofuscado, mas após um exame mais detalhado, ele faz apenas algumas operações elementares. Por um lado, verifica periodicamente o conteúdo da área de transferência. Quando detecta a presença do endereço da carteira criptográfica na área de transferência, ele altera o valor da área de transferência para o endereço da carteira sob o controle do invasor. O mecanismo de proteção também exclui o script após três alterações bem-sucedidas do endereço da carteira na área de transferência. A figura abaixo mostra a versão desofuscada da parte do script.
A função periodic_clipboard_checks (verificações periódicas da área de transferência, em tradução livre) está sendo chamada em um loop infinito. Cada chamada da check_clipboard verifica a presença do endereço da carteira na área de transferência e altera o seu conteúdo para o endereço controlado do invasor. O invasor está preparado para roubar várias carteiras de criptomoedas, desde Terra, Nano, Ronin ou Bitcoincash. Os parâmetros numéricos na check_clipboard não são importantes e servem apenas para otimizações
Figura 5: Script AutoIt baixado ocultamente
No total, identificamos 37 carteiras diferentes para várias criptomoedas. Algumas delas já estavam vazias, e não conseguimos identificar outras. No entanto, verificamos essas carteiras no blockchain e estimamos que o invasor ganhou pelo menos US$ 50.000. Além disso, se omitirmos a queda maciça no preço da criptomoeda Luna nos últimos dias, foram quase US$ 60.000 em aproximadamente um período de um mês.
A segunda técnica interessante que observamos em relação a esta campanha foi o uso de proxies para roubar credenciais e outros dados confidenciais de alguns mercados de criptomoedas. Os invasores conseguiram configurar um endereço IP para baixar um script de configuração automática de proxy (PAC) malicioso. Ao definir esse endereço IP no sistema, toda vez que a vítima acessa qualquer um dos domínios listados, o tráfego é redirecionado para um servidor proxy sob o controle do invasor.
Esse tipo de ataque é bastante incomum no contexto da atividade de roubo de criptografia; no entanto, é muito fácil escondê-lo do usuário, e o invasor pode observar o tráfego da vítima em determinados domínios por um bom tempo sem ser notado. A figura abaixo mostra o conteúdo do script de configuração automática de proxy configurado por um invasor. O tráfego para os criptomercados Binance, Huobi e OKX está sendo redirecionado para o endereço IP controlado do invasor.
Figura 6: Script de configuração automática de proxy
Esta campanha é perigosa principalmente devido à sua extensão. Como foi mostrado no início, o invasor conseguiu colocar os sites comprometidos em posições altas nos resultados de pesquisa. O número de usuários protegidos também mostra que essa campanha é bastante difundida. Se você suspeitar que seu computador foi comprometido, verifique as configurações de proxy e remova as configurações maliciosas usando o procedimento a seguir.
As configurações de proxy devem ser removidas manualmente usando as seguintes diretrizes:
Remova a chave de registro AutoConfigURL no Registro do Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Alternativamente, usando a interface do Windows:
Para esta campanha, os cibercriminosos abusam das marcas de softwares populares, promovendo versões ilegais e aparentemente quebradas para atrair os usuários a baixar o malware. Os nomes das marcas abusadas para esta campanha são, por exemplo, "CCleaner Pro Windows", mas também "Microsoft Office", "Movavi Video Editor 22.2.1 Crack" "IDM Download gratuito da versão completa com chave serial" "Movavi Video Editor 22.2.1 Crack" "Crack Office 2016 Full Crack + Product Key (Activator) 2022". Recomendamos que os usuários sempre usem as versões oficiais do software em vez das versões crackeadas.
Agradecemos a Martin Hanzlik, um estagiário do ensino médio que participou do rastreamento desta campanha e contribuiu significativamente para esta postagem no blog.
|
goes12by[.]cfd |
baed92all[.]cfd |
aeddkiu6745q[.]cfd |
14redirect[.]cfd |
|
lixn62ft[.]cfd |
kohuy31ng[.]cfd |
wae23iku[.]cfd |
yhf78aq[.]cfd |
|
xzctn14il[.]cfd |
mihatrt34er[.]cfd |
oliy67sd[.]cfd |
er67ilky[.]cfd |
|
bny734uy[.]cfd |
uzas871iu[.]cfd |
dert1mku[.]cfd |
fr56cvfi[.]cfd |
|
asud28cv[.]cfd |
freefiles34[.]xyz |
freefiles33[.]xyz |
wrtgh56mh[.]cfd |
|
SHA-256 |
|
bcb1c06505c8df8cf508e834be72a8b6adf67668fcf7076cd058b37cf7fc8aaf |
|
c283a387af09f56ba55d92a796edcfa60678e853b384f755313bc6f5086be4ee |
|
ac47ed991025f58745a3ca217b2091e0a54cf2a99ddb0c98988ec7e5de8eac6a |
|
5423be642e040cfa202fc326027d878003128bff5dfdf4da6c23db00b5942055 |
|
c283a387af09f56ba55d92a796edcfa60678e853b384f755313bc6f5086be4ee |
|
9254436f13cac035d797211f59754951b07297cf1f32121656b775124547dbe7 |
|
5423be642e040cfa202fc326027d878003128bff5dfdf4da6c23db00b5942055 |
|
9d66a6a6823aea1b923f0c200dfecb1ae70839d955e11a3f85184b8e0b16c6f8 |
|
IP Address |
|
185[.]250.148.76 |
|
45[.]135.134.211 |
|
194[.]180.174.180 |
|
45[.]140.146.169 |
|
37[.]221.67.219 |
|
94[.]140.114.231 |
|
SHA-256 |
|
97f1ae6502d0671f5ec9e28e41cba9e9beeffcc381aae299f45ec3fcc77cdd56 |
|
IP |
|
104[.]155.207.188 |
1988 - 2024 Copyright © Avast Software s.r.o. | Sitemap Política de Privacidade
