FakeCrackマルウェア

サイバー犯罪者は、被害者に情報を盗むマルウェアや暗号を盗むマルウェアを配信することを目的として、大規模なインフラストラクチャを確立しています。マルウェアの脅威は、正規のソフトウェア製品、ビデオゲーム、およびその他のライセンスされたアプリケーションのクラックされたバージョンとしてユーザーに提示されます。これらのひびの入ったバージョンを見つけるために、ユーザーはさまざまな疑わしいWebサイトにアクセスします。ただし、このキャンペーンの運営者は、Black SEO手法も利用しているため、破損したWebサイトが検索エンジンによって配信された上位の結果に表示されます。

キャンペーンとそれが配信するマルウェアの詳細は、FakeCrackという名前で追跡しているサイバーセキュリティの専門家によるレポートで明らかになりました。彼らの調査結果によると、有害な作戦の標的は主にブラジル、インド、インドネシア、フランスにありました。さらに、彼らは、FakeCrackの背後にいるサイバー犯罪者がこれまでに犠牲者から5万ドル以上の暗号資産を吸い上げることに成功したと信じています。

FakeCrackキャンペーンで配信されたマルウェアは、ZIPファイルの形式で被害者のマシンに到着します。アーカイブは、1234などの一般的なパスワードまたは単純なパスワードで暗号化されますが、マルウェア対策ソリューションがファイルの内容を分析するのを防ぐのに十分な効率があります。開くと、ユーザーはアーカイブ内に「setup.exe」または「cracksetuo.exe」という名前の単一のファイルを見つける可能性があります。

ファイルがアクティブ化されると、システム上でマルウェアが実行されます。 FakeCrackの一部としてドロップされた脅威の最初のステップは、被害者のPCをスキャンし、アカウントの資格情報、クレジット/デビットカードデータ、いくつかの暗号通貨アプリケーションからの詳細などの個人情報を収集することです。抽出されたすべての情報は、暗号化されたZIPファイルにパッケージ化され、操作のコマンドアンドコントロール（C2、C＆C）サーバーに送信されます。研究者は、アップロードされたファイルの復号化キーがファイルにハードコードされていることを発見しました。これにより、ファイル内のコンテンツへのアクセスがはるかに簡単になります。

FakeCrackマルウェアの脅威は、2つの興味深い手法を示しました。まず、感染したシステムにかなり大きいが非常に難読化されたスクリプトをドロップしました。このスクリプトの主な機能は、クリップボードを監視することです。クリップボードに保存されている適切な暗号ウォレットアドレスを検出すると、マルウェアはそれをハッカーによって制御されているウォレットのアドレスに置き換えます。 3回の変更が成功すると、スクリプトは削除されます。

2番目の手法では、破損したPAC（プロキシ自動設定）スクリプトをダウンロードするIPアドレスを設定します。被害者が標的のドメインのいずれかにアクセスしようとすると、そのトラフィックはサイバー犯罪者によって制御されているプロキシサーバーにリダイレクトされます。この手法は、暗号スティーラーに関してはかなり珍しいものですが、ハッカーが気付かれる可能性を最小限に抑えて、被害者のトラフィックを長期間にわたって監視することができます。