"Crypto stelen" campagne verspreid via vals gekraakte software

Gebruikers die gekraakte software downloaden, lopen het risico dat gevoelige persoonlijke gegevens worden gestolen door hackers.

Bent u geïnteresseerd in het downloaden van gratis, gekraakte software? Als dat zo is, moet je weten waar je aan begint.

Wanneer u per ongeluk schadelijke gekraakte software downloadt, kunnen aanvallers alles meenemen wat u op uw pc hebt en zult u eindigen zonder uw gevoelige persoonlijke gegevens en zelfs zonder de software die u in de eerste plaats probeerde te downloaden. Dit is precies hoe de nieuw opgekomen FakeCrack-campagne zijn werk doet en gebruikers verleidt om nep-gekraakte software te downloaden. De slechte actoren achter de campagne hebben een enorme infrastructuur gebruikt om malware te leveren en persoonlijke en andere gevoelige gegevens te stelen, waaronder crypto-activa. Wil je meer weten? Laten we wat dieper duiken.

Leveringsinfrastructuur

De infectieketen begint op dubieuze sites die zogenaamd gekraakte versies van bekende en gebruikte software aanbieden, zoals games, kantoorprogramma's of programma's voor het downloaden van multimedia-inhoud. Al deze sites worden op de hoogste posities in de resultaten van zoekmachines geplaatst. De onderstaande afbeelding toont de resultaten van de eerste pagina van een zoekopdracht op crack-trefwoord. De overgrote meerderheid van de resultaten op de eerste pagina (gemarkeerd) leidt tot gecompromitteerde crack-sites en de gebruiker downloadt uiteindelijk malware in plaats van de crack. Deze techniek staat bekend als het Black SEO-mechanisme dat gebruikmaakt van zoekmachine-indexeringstechnieken.

Figuur 1: CCleaner Pro crack zoekresultaten

Vervolgens leidt een link naar een uitgebreide infrastructuur die malware levert. Wat interessant is aan deze infrastructuur is de schaal. Na het klikken op de link wordt de gebruiker via een netwerk van domeinen omgeleid naar de bestemmingspagina. Deze domeinen hebben een vergelijkbaar patroon en worden geregistreerd op Cloudflare met behulp van een paar nameservers. Het eerste type domein gebruikt het patroon freefilesXX.xyz, waarbij XX cijfers zijn. Dit domein dient meestal alleen als redirector. De omleiding leidt naar een andere pagina met behulp van het cfd-topleveldomein. Deze cfd-domeinen dienen zowel als redirector als landingspagina. Over het algemeen heeft Avast dagelijks ongeveer 10.000 gebruikers beschermd tegen besmetting die zich voornamelijk in Brazilië, India, Indonesië en Frankrijk bevinden.

Figuur 2: Beschermde gebruikers op de gehele leveringsinfrastructuur (periode van 1 dag)

De landingspagina heeft verschillende visuele vormen. Ze bieden allemaal een link naar een legitiem platform voor het delen van bestanden, dat een malware ZIP-bestand bevat. De diensten voor het delen van bestanden die in deze campagne worden misbruikt, zijn bijvoorbeeld de Japanse filesend.jp of mediafire.com. Hieronder ziet u een voorbeeld van de bestemmingspagina.

Figuur 3: Landingspagina

Geleverde malware

Na het openen van de meegeleverde link wordt het ZIP-bestand gedownload. Deze ZIP is gecodeerd met een eenvoudig wachtwoord (meestal 1234) dat voorkomt dat het bestand wordt geanalyseerd door antivirussoftware. Deze ZIP bevat meestal een enkel uitvoerbaar bestand, meestal setup.exe of cracksetup.exe genoemd. We verzamelden acht verschillende uitvoerbare bestanden die door deze campagne werden gedistribueerd.

Deze acht voorbeelden tonen de activiteiten van stealers, gericht op het scannen van de pc van de gebruiker en het verzamelen van privé-informatie van de browsers, zoals wachtwoorden of creditcardgegevens. Ook worden gegevens uit elektronische wallets verzameld. De gegevens zijn geëxfiltreerd in gecodeerd ZIP-formaat naar C2-servers. De ZIP-bestandsversleutelingssleutel is echter hard gecodeerd in het binaire bestand, dus het verkrijgen van de inhoud is niet moeilijk. De gecodeerde ZIP bevat alle eerder genoemde informatie, zoals de informatie over het systeem, geïnstalleerde software, screenshot en gegevens verzameld uit de browser, inclusief wachtwoorden of privégegevens van crypto-extensies.

Figuur 4: Exfiltered data in ZIP

Figuur 5: Zip-wachtwoord hardcoded in het binaire bestand

Persistentietechnieken

De geleverde stealer malware met behulp van twee persistentietechnieken. Beide technieken waren uitsluitend gericht op het stelen van crypto-gerelateerde informatie, die we nu in meer detail zullen beschrijven.

Klembordwisselaar techniek

Naast het stelen van gevoelige persoonlijke informatie zoals hierboven beschreven, hebben sommige van de voorbeelden ook de persistentie behouden door twee extra bestanden te laten vallen. De AutoIt-compiler voor de case is niet aanwezig op de computer van de gebruiker en het AutoIt-script. Het script is meestal verwijderd uit de map AppData\Roaming\ServiceGet\ en gepland om automatisch op een vooraf gedefinieerd tijdstip te worden uitgevoerd.

Dit script is vrij groot en zeer zwaar verduisterd, maar na een nader onderzoek doet het slechts een paar elementaire bewerkingen. Ten eerste controleert het periodiek de inhoud van het klembord. Wanneer het de aanwezigheid van het crypto-portemonneeadres in het klembord detecteert, verandert het de waarde van het klembord in het portefeuilleadres onder controle van de aanvaller. Het beveiligingsmechanisme verwijdert ook het script na drie succesvolle wijzigingen van het wallet-adres in het klembord. De onderstaande afbeelding toont de ongeldige versie van het deel van het script.

De periodic_clipboard_checks functie wordt aangeroepen in een oneindige lus. Elke aanroep van de check_clipboard-functie controleert de aanwezigheid van het wallet-adres op het klembord en wijzigt de inhoud ervan in het gecontroleerde adres van de aanvaller. De aanvaller is voorbereid op verschillende crypto wallets, variërend van Terra, Nano, Ronin of Bitcoincash. De numerieke parameters in de functie check_clipboard zijn niet belangrijk en dienen alleen voor optimalisaties.

Figuur 6: AutoIt-script laten vallen

In totaal hebben we 37 verschillende wallets voor verschillende cryptocurrencies geïdentificeerd. Sommigen van hen waren al leeg, en sommigen van hen konden we niet identificeren. We hebben deze wallets echter op de blockchain gecontroleerd en we schatten dat de aanvaller minstens $ 50.000 verdiende. Bovendien, als we de enorme daling van de prijs van de Luna-crypto in de afgelopen dagen weglaten, was het bijna $ 60.000 in ongeveer een periode van een maand.

Proxy stelen techniek

De tweede interessante techniek die we in verband met deze campagne hebben waargenomen, was het gebruik van proxy's om inloggegevens en andere gevoelige gegevens van sommige crypto-marktplaatsen te stelen. Aanvallers konden een IP-adres instellen om een kwaadaardig Proxy Auto-Configuration-script (PAC) te downloaden. Door dit IP-adres in het systeem in te stellen, wordt het verkeer telkens wanneer het slachtoffer toegang krijgt tot een van de vermelde domeinen, omgeleid naar een proxyserver onder controle van de aanvaller.

Dit type aanval is vrij ongebruikelijk in de context van de crypto-stelende activiteit; het is echter heel gemakkelijk om het voor de gebruiker te verbergen en de aanvaller kan het verkeer van het slachtoffer op bepaalde domeinen vrij lang observeren zonder opgemerkt te worden. In de onderstaande afbeelding ziet u de inhoud van het proxyscript voor automatische configuratie dat door een aanvaller is ingesteld. Verkeer naar binance, huobi en OKX cryptomarkten wordt omgeleid naar het gecontroleerde IP-adres van de aanvaller.

Afbeelding 7: Proxy autoconfig script

De proxy-instellingen verwijderen

Deze campagne is vooral gevaarlijk vanwege de uitbreiding. Zoals aan het begin werd getoond, slaagde de aanvaller erin om de gecompromitteerde sites op hoge posities in de zoekresultaten te krijgen. Het aantal beschermde gebruikers laat ook zien dat deze campagne vrij wijdverspreid is. Als u vermoedt dat uw computer is gecompromitteerd, controleert u de proxy-instellingen en verwijdert u schadelijke instellingen met behulp van de volgende procedure.

De proxy-instellingen moeten handmatig worden verwijderd aan de hand van de volgende richtlijnen:

• Verwijder de registersleutel AutoConfigURL in hkcu\software\Microsoft\Windows\CurrentVersion\Internet Settings
   
• U kunt ook de GUI gebruiken:
  • Klik op het menu Start.
  • Typ Instellingen en druk op enter.
  • Ga naar Netwerk & Internet -> Proxy.
  • Verwijder scriptadres en klik op de knop Opslaan.
  • Schakel de optie 'Een proxyserver gebruiken' uit.