Gebruikers die gekraakte software downloaden, lopen het risico dat hackers gevoelige persoonlijke gegevens stelen.
Bent u geïnteresseerd in het downloaden van gratis, gekraakte software? Zo ja, dan moet je weten waar je aan begint.
Als je per ongeluk kwaadaardige, gekraakte software downloadt, kunnen aanvallers alles meenemen wat je op je pc
hebt staan, en dan zit je zonder je gevoelige persoonlijke gegevens en zelfs zonder de software die je in de eerste
plaats probeerde te downloaden. Dit is precies hoe de recent opgedoken FakeCrack campagne zijn zaken doet,
gebruikers verleiden tot het downloaden van nep gekraakte software. De slechte actoren achter de campagne hebben
een uitgebreide infrastructuur gebruikt om malware te leveren en persoonlijke en andere gevoelige gegevens te stelen,
waaronder crypto-activa. Wilt u meer weten? Laten we er eens dieper induiken.
Leveringsinfrastructuur
De infectieketen begint op dubieuze sites die zogenaamd gekraakte versies aanbieden van bekende en gebruikte software,
zoals spelletjes, kantoorprogramma's, of programma's voor het downloaden van multimedia-inhoud.
Al deze sites worden op de hoogste posities in de resultaten van zoekmachines geplaatst. De overgrote meerderheid van de
resultaten op de eerste pagina leiden naar gecompromitteerde crack sites, en gebruikers downloaden uiteindelijk malware in
plaats van de crack. Deze techniek staat bekend als het Black SEO mechanisme dat zoekmachine indexeringstechnieken uitbuit.
Vervolgens leidt een link naar een uitgebreide infrastructuur die malware levert. Het interessante aan deze infrastructuur is de
schaal. Nadat op de link is geklikt, wordt de gebruiker via een netwerk van domeinen omgeleid naar de landingspagina.
Deze domeinen hebben een vergelijkbaar patroon en zijn geregistreerd op Cloudflare met behulp van een paar naamservers.
Het eerste type domein gebruikt het patroon freefilesXX.xyz, waarbij XX cijfers zijn. Dit domein dient meestal alleen als redirector.
De redirect leidt naar een andere pagina met het cfd top-level domein. Deze cfd-domeinen dienen zowel als omleiding als
landingspagina. In totaal heeft Avast ongeveer 10.000 gebruikers beschermd tegen dagelijkse infecties, die zich voornamelijk in
Brazilië, India, Indonesië en Frankrijk bevinden.
Figuur 1: Beschermde gebruikers op de hele leveringsinfrastructuur (periode van 1 dag)
De landingspagina heeft verschillende visuele vormen. Ze bieden allemaal een link naar een legitiem platform voor het delen van
bestanden, dat een malware ZIP-bestand bevat. De bestandsuitwisselingsdiensten die in deze campagne worden misbruikt, zijn
bijvoorbeeld het Japanse filesend.jp of mediafire.com. Een voorbeeld van de landingspagina is hieronder te zien.
Figuur 2: Landingspagina
Geleverde malware
Na het openen van de verstrekte link, wordt het ZIP-bestand gedownload. Dit ZIP-bestand is versleuteld met een eenvoudig
wachtwoord (meestal 1234), waardoor het bestand niet kan worden geanalyseerd door antivirussoftware. Deze ZIP bevat meestal
een enkel uitvoerbaar bestand, meestal setup.exe of cracksetup.exe genaamd. We hebben acht verschillende uitvoerbare bestanden
verzameld die door deze campagne werden verspreid.
Deze acht monsters laten de activiteiten van de stealers zien, waarbij de nadruk ligt op het scannen van de pc van de gebruiker
en het verzamelen van privégegevens uit de browsers, zoals wachtwoorden of creditcardgegevens. Ook gegevens uit elektronische
portemonnees worden verzameld. De gegevens zijn in gecodeerd ZIP-formaat geëxfiltreerd naar C2-servers.
De versleutelingssleutel van het ZIP-bestand is echter hard gecodeerd in het binaire bestand, zodat het verkrijgen van de inhoud niet
moeilijk is. De versleutelde ZIP bevat alle eerder genoemde informatie, zoals de informatie over het systeem, geïnstalleerde software,
een schermafdruk en gegevens die zijn verzameld van de browser, inclusief wachtwoorden of privégegevens van crypto-extensies.
Figuur 3: Uitgefilterde gegevens in ZIP
Figuur 4: Hardcoded Zip-wachtwoord in het binaire bestand
Persistentie technieken
De geleverde stealer malware maakt gebruik van twee persistentie technieken. Beide technieken waren uitsluitend gericht op het
stelen van crypto-gerelateerde informatie, die we nu in meer detail zullen beschrijven.
Klembordwisselaar techniek
Naast het stelen van gevoelige persoonlijke informatie zoals hierboven beschreven, behielden sommige van de monsters ook
persistentie door twee extra bestanden te droppen. De AutoIt compiler voor de zaak die niet aanwezig is op de computer van de
gebruiker en het AutoIt script. Het script is meestal gedropt in de map AppDataRoamingServiceGet en gepland om automatisch
te draaien op een vooraf bepaalde tijd.
Dit script is vrij groot en zwaar versluierd, maar bij nader onderzoek blijkt het slechts een paar elementaire handelingen te verrichten.
Ten eerste controleert het periodiek de inhoud van het klembord. Als het de aanwezigheid van het adres van de crypto-portemonnee
op het klembord detecteert, verandert het de waarde van het klembord naar het adres van de portemonnee dat onder controle van
de aanvaller staat. Het beschermingsmechanisme verwijdert ook het script na drie succesvolle wijzigingen van het portefeuille-adres
op het klembord. De onderstaande figuur toont de gedeobfusculeerde versie van het deel van het script.
De functie periodic_clipboard_checks wordt in een oneindige lus aangeroepen. Elke aanroep van de check_clipboard functie controleert
de aanwezigheid van het wallet adres in het clipboard en verandert de inhoud naar het door de aanvaller gecontroleerde adres.
De aanvaller is voorbereid op verschillende crypto-portemonnees, variërend van Terra, Nano, Ronin, of Bitcoincash.
De numerieke parameters in de check_clipboard functie zijn niet belangrijk en dienen alleen voor optimalisaties.
Figuur 5: Verlaten AutoIt script
In totaal identificeerden we 37 verschillende wallets voor verschillende cryptocurrencies. Sommige waren al leeg, en sommige
konden we niet identificeren. We hebben deze wallets echter gecontroleerd op de blockchain en we schatten dat de aanvaller
ten minste $50.000 heeft verdiend. Als we bovendien de enorme prijsdaling van de Luna-crypto van de afgelopen dagen buiten
beschouwing laten, ging het om bijna 60.000 dollar in ongeveer een periode van een maand.
Proxy stelende techniek
De tweede interessante techniek die we observeerden in verband met deze campagne was het gebruik van proxies om
geloofsbrieven en andere gevoelige gegevens te stelen van sommige crypto-marktplaatsen. Aanvallers waren in staat om een
IP-adres in te stellen om een kwaadaardig Proxy Auto-Configuratie script (PAC) te downloaden. Door dit IP-adres in het systeem
in te stellen, wordt elke keer dat het slachtoffer een van de genoemde domeinen bezoekt, het verkeer omgeleid naar een
proxyserver die onder controle staat van de aanvaller.
Dit type aanval is vrij ongebruikelijk in de context van de cryptostelende activiteit; het is echter zeer eenvoudig om het voor de
gebruiker te verbergen, en de aanvaller kan het verkeer van het slachtoffer op bepaalde domeinen vrij lang observeren zonder
te worden opgemerkt. De onderstaande figuur toont de inhoud van het Proxy Autoconfiguratie Script dat door een aanvaller is
opgezet. Verkeer naar Binance, Huobi, en OKX cryptomarkten wordt omgeleid naar het door de aanvaller gecontroleerde IP adres.
Hoe de proxy-instellingen te verwijderen
Deze campagne is vooral gevaarlijk vanwege de extensie. Zoals in het begin werd aangetoond, slaagt de aanvaller erin
om de gecompromitteerde sites op hoge posities in de zoekresultaten te krijgen. Het aantal beschermde gebruikers toont
ook aan dat deze campagne vrij wijdverspreid is. Als u vermoedt dat uw computer is gecompromitteerd, controleer dan de
proxy-instellingen en verwijder de schadelijke instellingen met behulp van de volgende procedure.
De proxy-instellingen moeten handmatig worden verwijderd aan de hand van de volgende richtlijnen:
Verwijder AutoConfigURL registersleutel in HKCU\Software\Microsoft\Windows\CurrentVersion\Internetinstellingen
Voor deze campagne misbruiken cybercriminelen de merknamen van populaire software, door illegale, schijnbaar gekraakte
versies ervan te promoten om gebruikers ertoe te verleiden de malware te downloaden. Merknamen die voor deze campagne
worden misbruikt zijn bijvoorbeeld "CCleaner Pro Windows", maar ook "Microsoft Office", "Movavi Video Editor 22.2.1 Crack"
"IDM Download Free Full Version With Serial Key" "Movavi Video Editor 22.2.1 Crack"
"Crack Office 2016 Full Crack + Product Key (Activator) 2022".
Wij raden gebruikers aan om altijd vast te houden aan officiële softwareversies in plaats van gekraakte versies.
Met dank aan Martin Hanzlik, een middelbare school student stagiair die heeft deelgenomen aan het volgen van deze campagne
en aanzienlijk heeft bijgedragen aan deze blog post.
Overgenomen van:
blog.avast.com
Bent u geïnteresseerd in het downloaden van gratis, gekraakte software? Zo ja, dan moet je weten waar je aan begint.
Als je per ongeluk kwaadaardige, gekraakte software downloadt, kunnen aanvallers alles meenemen wat je op je pc
hebt staan, en dan zit je zonder je gevoelige persoonlijke gegevens en zelfs zonder de software die je in de eerste
plaats probeerde te downloaden. Dit is precies hoe de recent opgedoken FakeCrack campagne zijn zaken doet,
gebruikers verleiden tot het downloaden van nep gekraakte software. De slechte actoren achter de campagne hebben
een uitgebreide infrastructuur gebruikt om malware te leveren en persoonlijke en andere gevoelige gegevens te stelen,
waaronder crypto-activa. Wilt u meer weten? Laten we er eens dieper induiken.
Leveringsinfrastructuur
De infectieketen begint op dubieuze sites die zogenaamd gekraakte versies aanbieden van bekende en gebruikte software,
zoals spelletjes, kantoorprogramma's, of programma's voor het downloaden van multimedia-inhoud.
Al deze sites worden op de hoogste posities in de resultaten van zoekmachines geplaatst. De overgrote meerderheid van de
resultaten op de eerste pagina leiden naar gecompromitteerde crack sites, en gebruikers downloaden uiteindelijk malware in
plaats van de crack. Deze techniek staat bekend als het Black SEO mechanisme dat zoekmachine indexeringstechnieken uitbuit.
Vervolgens leidt een link naar een uitgebreide infrastructuur die malware levert. Het interessante aan deze infrastructuur is de
schaal. Nadat op de link is geklikt, wordt de gebruiker via een netwerk van domeinen omgeleid naar de landingspagina.
Deze domeinen hebben een vergelijkbaar patroon en zijn geregistreerd op Cloudflare met behulp van een paar naamservers.
Het eerste type domein gebruikt het patroon freefilesXX.xyz, waarbij XX cijfers zijn. Dit domein dient meestal alleen als redirector.
De redirect leidt naar een andere pagina met het cfd top-level domein. Deze cfd-domeinen dienen zowel als omleiding als
landingspagina. In totaal heeft Avast ongeveer 10.000 gebruikers beschermd tegen dagelijkse infecties, die zich voornamelijk in
Brazilië, India, Indonesië en Frankrijk bevinden.
Figuur 1: Beschermde gebruikers op de hele leveringsinfrastructuur (periode van 1 dag)
De landingspagina heeft verschillende visuele vormen. Ze bieden allemaal een link naar een legitiem platform voor het delen van
bestanden, dat een malware ZIP-bestand bevat. De bestandsuitwisselingsdiensten die in deze campagne worden misbruikt, zijn
bijvoorbeeld het Japanse filesend.jp of mediafire.com. Een voorbeeld van de landingspagina is hieronder te zien.
Figuur 2: Landingspagina
Geleverde malware
Na het openen van de verstrekte link, wordt het ZIP-bestand gedownload. Dit ZIP-bestand is versleuteld met een eenvoudig
wachtwoord (meestal 1234), waardoor het bestand niet kan worden geanalyseerd door antivirussoftware. Deze ZIP bevat meestal
een enkel uitvoerbaar bestand, meestal setup.exe of cracksetup.exe genaamd. We hebben acht verschillende uitvoerbare bestanden
verzameld die door deze campagne werden verspreid.
Deze acht monsters laten de activiteiten van de stealers zien, waarbij de nadruk ligt op het scannen van de pc van de gebruiker
en het verzamelen van privégegevens uit de browsers, zoals wachtwoorden of creditcardgegevens. Ook gegevens uit elektronische
portemonnees worden verzameld. De gegevens zijn in gecodeerd ZIP-formaat geëxfiltreerd naar C2-servers.
De versleutelingssleutel van het ZIP-bestand is echter hard gecodeerd in het binaire bestand, zodat het verkrijgen van de inhoud niet
moeilijk is. De versleutelde ZIP bevat alle eerder genoemde informatie, zoals de informatie over het systeem, geïnstalleerde software,
een schermafdruk en gegevens die zijn verzameld van de browser, inclusief wachtwoorden of privégegevens van crypto-extensies.
Figuur 3: Uitgefilterde gegevens in ZIP
Figuur 4: Hardcoded Zip-wachtwoord in het binaire bestand
Persistentie technieken
De geleverde stealer malware maakt gebruik van twee persistentie technieken. Beide technieken waren uitsluitend gericht op het
stelen van crypto-gerelateerde informatie, die we nu in meer detail zullen beschrijven.
Klembordwisselaar techniek
Naast het stelen van gevoelige persoonlijke informatie zoals hierboven beschreven, behielden sommige van de monsters ook
persistentie door twee extra bestanden te droppen. De AutoIt compiler voor de zaak die niet aanwezig is op de computer van de
gebruiker en het AutoIt script. Het script is meestal gedropt in de map AppDataRoamingServiceGet en gepland om automatisch
te draaien op een vooraf bepaalde tijd.
Dit script is vrij groot en zwaar versluierd, maar bij nader onderzoek blijkt het slechts een paar elementaire handelingen te verrichten.
Ten eerste controleert het periodiek de inhoud van het klembord. Als het de aanwezigheid van het adres van de crypto-portemonnee
op het klembord detecteert, verandert het de waarde van het klembord naar het adres van de portemonnee dat onder controle van
de aanvaller staat. Het beschermingsmechanisme verwijdert ook het script na drie succesvolle wijzigingen van het portefeuille-adres
op het klembord. De onderstaande figuur toont de gedeobfusculeerde versie van het deel van het script.
De functie periodic_clipboard_checks wordt in een oneindige lus aangeroepen. Elke aanroep van de check_clipboard functie controleert
de aanwezigheid van het wallet adres in het clipboard en verandert de inhoud naar het door de aanvaller gecontroleerde adres.
De aanvaller is voorbereid op verschillende crypto-portemonnees, variërend van Terra, Nano, Ronin, of Bitcoincash.
De numerieke parameters in de check_clipboard functie zijn niet belangrijk en dienen alleen voor optimalisaties.
Figuur 5: Verlaten AutoIt script
In totaal identificeerden we 37 verschillende wallets voor verschillende cryptocurrencies. Sommige waren al leeg, en sommige
konden we niet identificeren. We hebben deze wallets echter gecontroleerd op de blockchain en we schatten dat de aanvaller
ten minste $50.000 heeft verdiend. Als we bovendien de enorme prijsdaling van de Luna-crypto van de afgelopen dagen buiten
beschouwing laten, ging het om bijna 60.000 dollar in ongeveer een periode van een maand.
Proxy stelende techniek
De tweede interessante techniek die we observeerden in verband met deze campagne was het gebruik van proxies om
geloofsbrieven en andere gevoelige gegevens te stelen van sommige crypto-marktplaatsen. Aanvallers waren in staat om een
IP-adres in te stellen om een kwaadaardig Proxy Auto-Configuratie script (PAC) te downloaden. Door dit IP-adres in het systeem
in te stellen, wordt elke keer dat het slachtoffer een van de genoemde domeinen bezoekt, het verkeer omgeleid naar een
proxyserver die onder controle staat van de aanvaller.
Dit type aanval is vrij ongebruikelijk in de context van de cryptostelende activiteit; het is echter zeer eenvoudig om het voor de
gebruiker te verbergen, en de aanvaller kan het verkeer van het slachtoffer op bepaalde domeinen vrij lang observeren zonder
te worden opgemerkt. De onderstaande figuur toont de inhoud van het Proxy Autoconfiguratie Script dat door een aanvaller is
opgezet. Verkeer naar Binance, Huobi, en OKX cryptomarkten wordt omgeleid naar het door de aanvaller gecontroleerde IP adres.
Figuur 6: Proxy autoconfig script
Hoe de proxy-instellingen te verwijderen
Deze campagne is vooral gevaarlijk vanwege de extensie. Zoals in het begin werd aangetoond, slaagt de aanvaller erin
om de gecompromitteerde sites op hoge posities in de zoekresultaten te krijgen. Het aantal beschermde gebruikers toont
ook aan dat deze campagne vrij wijdverspreid is. Als u vermoedt dat uw computer is gecompromitteerd, controleer dan de
proxy-instellingen en verwijder de schadelijke instellingen met behulp van de volgende procedure.
De proxy-instellingen moeten handmatig worden verwijderd aan de hand van de volgende richtlijnen:
Verwijder AutoConfigURL registersleutel in HKCU\Software\Microsoft\Windows\CurrentVersion\Internetinstellingen
- Als alternatief, met behulp van GUI:
- Klik op het Start Menu.
- Typ Instellingen en druk op enter.
- Ga naar Netwerk & Internet -> Proxy.
- Verwijder Script Address en klik op de knop Opslaan.
- Schakel de optie "Gebruik een proxyserver" uit.
Voor deze campagne misbruiken cybercriminelen de merknamen van populaire software, door illegale, schijnbaar gekraakte
versies ervan te promoten om gebruikers ertoe te verleiden de malware te downloaden. Merknamen die voor deze campagne
worden misbruikt zijn bijvoorbeeld "CCleaner Pro Windows", maar ook "Microsoft Office", "Movavi Video Editor 22.2.1 Crack"
"IDM Download Free Full Version With Serial Key" "Movavi Video Editor 22.2.1 Crack"
"Crack Office 2016 Full Crack + Product Key (Activator) 2022".
Wij raden gebruikers aan om altijd vast te houden aan officiële softwareversies in plaats van gekraakte versies.
Met dank aan Martin Hanzlik, een middelbare school student stagiair die heeft deelgenomen aan het volgen van deze campagne
en aanzienlijk heeft bijgedragen aan deze blog post.
IoC
Leveringsinfrastructuur
Delivery infrastructure
| goes12by[.]cfd | baed92all[.]cfd | aeddkiu6745q[.]cfd | 14redirect[.]cfd |
| lixn62ft[.]cfd | kohuy31ng[.]cfd | wae23iku[.]cfd | yhf78aq[.]cfd |
| xzctn14il[.]cfd | mihatrt34er[.]cfd | oliy67sd[.]cfd | er67ilky[.]cfd |
| bny734uy[.]cfd | uzas871iu[.]cfd | dert1mku[.]cfd | fr56cvfi[.]cfd |
| asud28cv[.]cfd | freefiles34[.]xyz | freefiles33[.]xyz | wrtgh56mh[.]cfd |
Malware
| SHA-256 |
| bcb1c06505c8df8cf508e834be72a8b6adf67668fcf7076cd058b37cf7fc8aaf |
| c283a387af09f56ba55d92a796edcfa60678e853b384f755313bc6f5086be4ee |
| ac47ed991025f58745a3ca217b2091e0a54cf2a99ddb0c98988ec7e5de8eac6a |
| 5423be642e040cfa202fc326027d878003128bff5dfdf4da6c23db00b5942055 |
| c283a387af09f56ba55d92a796edcfa60678e853b384f755313bc6f5086be4ee |
| 9254436f13cac035d797211f59754951b07297cf1f32121656b775124547dbe7 |
| 5423be642e040cfa202fc326027d878003128bff5dfdf4da6c23db00b5942055 |
| 9d66a6a6823aea1b923f0c200dfecb1ae70839d955e11a3f85184b8e0b16c6f8 |
Stealer C2 and exfiltration servers
| IP Address |
| 185[.]250.148.76 |
| 45[.]135.134.211 |
| 194[.]180.174.180 |
| 45[.]140.146.169 |
| 37[.]221.67.219 |
| 94[.]140.114.231 |
Clipboard veranderingsscript
| SHA-256 |
| 97f1ae6502d0671f5ec9e28e41cba9e9beeffcc381aae299f45ec3fcc77cdd56 |
Malicious proxy server
| IP |
| 104[.]155.207.188 |
| SHA-256 |
| e5286671048b1ef44a4665c091ad6a9d1f77d6982cf4550b3d2d3a9ef1e24bc7 |
Overgenomen van:
Crypto stealing campaign spread via fake cracked software
Users who download cracked software risk sensitive personal data being stolen by hackers. This is how the FakeCrack campaign is doing its business.
blog.avast.com