Vampire Inspector

Gebruikers die gekraakte software downloaden, lopen het risico dat gevoelige persoonlijke gegevens worden gestolen door hackers. Bent u geïnteresseerd in het downloaden van gratis, gekraakte software? Als dat zo is, moet je weten waar je aan begint. Wanneer u per ongeluk schadelijke gekraakte software downloadt, kunnen aanvallers alles meenemen wat u op uw pc hebt en zult u eindigen zonder uw gevoelige persoonlijke gegevens en zelfs zonder de software die u in de eerste plaats probeerde te downloaden. Dit is precies hoe de nieuw opgekomen FakeCrack-campagne zijn werk doet en gebruikers verleidt om nep-gekraakte software te downloaden. De slechte actoren achter de campagne hebben een enorme infrastructuur gebruikt om malware te leveren en persoonlijke en andere gevoelige gegevens te stelen, waaronder crypto-activa. Wil je meer weten? Laten we wat dieper duiken. Leveringsinfrastructuur De infectieketen begint op dubieuze sites die zogenaamd gekraakte versies van bekende en gebruikte software aanbieden, zoals games, kantoorprogramma's of programma's voor het downloaden van multimedia-inhoud. Al deze sites worden op de hoogste posities in de resultaten van zoekmachines geplaatst. De onderstaande afbeelding toont de resultaten van de eerste pagina van een zoekopdracht op crack-trefwoord. De overgrote meerderheid van de resultaten op de eerste pagina (gemarkeerd) leidt tot gecompromitteerde crack-sites en de gebruiker downloadt uiteindelijk malware in plaats van de crack. Deze techniek staat bekend als het Black SEO-mechanisme dat gebruikmaakt van zoekmachine-indexeringstechnieken. Figuur 1: CCleaner Pro crack zoekresultaten Vervolgens leidt een link naar een uitgebreide infrastructuur die malware levert. Wat interessant is aan deze infrastructuur is de schaal. Na het klikken op de link wordt de gebruiker via een netwerk van domeinen omgeleid naar de bestemmingspagina. Deze domeinen hebben een vergelijkbaar patroon en worden geregistreerd op Cloudflare met behulp van een paar nameservers. Het eerste type domein gebruikt het patroon freefilesXX.xyz, waarbij XX cijfers zijn. Dit domein dient meestal alleen als redirector. De omleiding leidt naar een andere pagina met behulp van het cfd-topleveldomein. Deze cfd-domeinen dienen zowel als redirector als landingspagina. Over het algemeen heeft Avast dagelijks ongeveer 10.000 gebruikers beschermd tegen besmetting die zich voornamelijk in Brazilië, India, Indonesië en Frankrijk bevinden. Figuur 2: Beschermde gebruikers op de gehele leveringsinfrastructuur (periode van 1 dag) De landingspagina heeft verschillende visuele vormen. Ze bieden allemaal een link naar een legitiem platform voor het delen van bestanden, dat een malware ZIP-bestand bevat. De diensten voor het delen van bestanden die in deze campagne worden misbruikt, zijn bijvoorbeeld de Japanse filesend.jp of mediafire.com. Hieronder ziet u een voorbeeld van de bestemmingspagina. Figuur 3: Landingspagina Geleverde malware Na het openen van de meegeleverde link wordt het ZIP-bestand gedownload. Deze ZIP is gecodeerd met een eenvoudig wachtwoord (meestal 1234) dat voorkomt dat het bestand wordt geanalyseerd door antivirussoftware. Deze ZIP bevat meestal een enkel uitvoerbaar bestand, meestal setup.exe of cracksetup.exe genoemd. We verzamelden acht verschillende uitvoerbare bestanden die door deze campagne werden gedistribueerd. Deze acht voorbeelden tonen de activiteiten van stealers, gericht op het scannen van de pc van de gebruiker en het verzamelen van privé-informatie van de browsers, zoals wachtwoorden of creditcardgegevens. Ook worden gegevens uit elektronische wallets verzameld. De gegevens zijn geëxfiltreerd in gecodeerd ZIP-formaat naar C2-servers. De ZIP-bestandsversleutelingssleutel is echter hard gecodeerd in het binaire bestand, dus het verkrijgen van de inhoud is niet moeilijk. De gecodeerde ZIP bevat alle eerder genoemde informatie, zoals de informatie over het systeem, geïnstalleerde software, screenshot en gegevens verzameld uit de browser, inclusief wachtwoorden of privégegevens van crypto-extensies. Figuur 4: Exfiltered data in ZIP Figuur 5: Zip-wachtwoord hardcoded in het binaire bestand Persistentietechnieken De geleverde stealer malware met behulp van twee persistentietechnieken. Beide technieken waren uitsluitend gericht op het stelen van crypto-gerelateerde informatie, die we nu in meer detail zullen beschrijven. Klembordwisselaar techniek Naast het stelen van gevoelige persoonlijke informatie zoals hierboven beschreven, hebben sommige van de voorbeelden ook de persistentie behouden door twee extra bestanden te laten vallen. De AutoIt-compiler voor de case is niet aanwezig op de computer van de gebruiker en het AutoIt-script. Het script is meestal verwijderd uit de map AppData\Roaming\ServiceGet\ en gepland om automatisch op een vooraf gedefinieerd tijdstip te worden uitgevoerd. Dit script is vrij groot en zeer zwaar verduisterd, maar na een nader onderzoek doet het slechts een paar elementaire bewerkingen. Ten eerste controleert het periodiek de inhoud van het klembord. Wanneer het de aanwezigheid van het crypto-portemonneeadres in het klembord detecteert, verandert het de waarde van het klembord in het portefeuilleadres onder controle van de aanvaller. Het beveiligingsmechanisme verwijdert ook het script na drie succesvolle wijzigingen van het wallet-adres in het klembord. De onderstaande afbeelding toont de ongeldige versie van het deel van het script. De periodic_clipboard_checks functie wordt aangeroepen in een oneindige lus. Elke aanroep van de check_clipboard-functie controleert de aanwezigheid van het wallet-adres op het klembord en wijzigt de inhoud ervan in het gecontroleerde adres van de aanvaller. De aanvaller is voorbereid op verschillende crypto wallets, variërend van Terra, Nano, Ronin of Bitcoincash. De numerieke parameters in de functie check_clipboard zijn niet belangrijk en dienen alleen voor optimalisaties. Figuur 6: AutoIt-script laten vallen In totaal hebben we 37 verschillende wallets voor verschillende cryptocurrencies geïdentificeerd. Sommigen van hen waren al leeg, en sommigen van hen konden we niet identificeren. We hebben deze wallets echter op de blockchain gecontroleerd en we schatten dat de aanvaller minstens $ 50.000 verdiende. Bovendien, als we de enorme daling van de prijs van de Luna-crypto in de afgelopen dagen weglaten, was het bijna $ 60.000 in ongeveer een periode van een maand. Proxy stelen techniek De tweede interessante techniek die we in verband met deze campagne hebben waargenomen, was het gebruik van proxy's om inloggegevens en andere gevoelige gegevens van sommige crypto-marktplaatsen te stelen. Aanvallers konden een IP-adres instellen om een kwaadaardig Proxy Auto-Configuration-script (PAC) te downloaden. Door dit IP-adres in het systeem in te stellen, wordt het verkeer telkens wanneer het slachtoffer toegang krijgt tot een van de vermelde domeinen, omgeleid naar een proxyserver onder controle van de aanvaller. Dit type aanval is vrij ongebruikelijk in de context van de crypto-stelende activiteit; het is echter heel gemakkelijk om het voor de gebruiker te verbergen en de aanvaller kan het verkeer van het slachtoffer op bepaalde domeinen vrij lang observeren zonder opgemerkt te worden. In de onderstaande afbeelding ziet u de inhoud van het proxyscript voor automatische configuratie dat door een aanvaller is ingesteld. Verkeer naar binance, huobi en OKX cryptomarkten wordt omgeleid naar het gecontroleerde IP-adres van de aanvaller. Afbeelding 7: Proxy autoconfig script De proxy-instellingen verwijderen Deze campagne is vooral gevaarlijk vanwege de uitbreiding. Zoals aan het begin werd getoond, slaagde de aanvaller erin om de gecompromitteerde sites op hoge posities in de zoekresultaten te krijgen. Het aantal beschermde gebruikers laat ook zien dat deze campagne vrij wijdverspreid is. Als u vermoedt dat uw computer is gecompromitteerd, controleert u de proxy-instellingen en verwijdert u schadelijke instellingen met behulp van de volgende procedure. De proxy-instellingen moeten handmatig worden verwijderd aan de hand van de volgende richtlijnen: Verwijder de registersleutel AutoConfigURL in hkcu\software\Microsoft\Windows\CurrentVersion\Internet Settings U kunt ook de GUI gebruiken: Klik op het menu Start. Typ Instellingen en druk op enter. Ga naar Netwerk & Internet -> Proxy. Verwijder scriptadres en klik op de knop Opslaan. Schakel de optie 'Een proxyserver gebruiken' uit.

Geen Facebook, geen Instagram, geen Twitter, geen niet door Rusland gestuurde media … Het digitale leven van de Rus is er sinds de invasie van Oekraïne en de daaropvolgende censuur van de Russische overheid beduidend saaier op geworden. Of niet? Want steeds meer Russen vinden ondertussen hun weg naar het internet via een VPN-verbinding. Een VPN, de afkorting voor virtual private network, is een soort digitale mantel van onzichtbaarheid. Je verbinding wordt versleuteld en je IP-adres en locatie worden onzichtbaar, en zelfs verplaatst. Concreet betekent dit dat je, met behulp van een VPN, je digitale adres tijdelijk kan verhuizen naar pakweg het Verenigd Koninkrijk. Hierdoor kan je toegang krijgen tot andere websites, die in eigen land niet verkrijgbaar zijn. Standaarduitrusting van de internetgebruiker Waar VPN lang iets was dat enkel door de echte techneuten, hackers en internetfanatici werd gebruikt, is het netwerk in Rusland nu bijna uitgegroeid tot een bepaalde standaard voor internetgebruikers. Maar liefst 24 miljoen Russen, of een zesde van de totale bevolking, surft op het internet via een VPN-verbinding. Zo krijgen ze toegang tot de meer dan 1.000 voor Russen afgeschermde websites, zoals Facebook, Twitter, BBC News of onafhankelijke Russische media. Volgens The Moscow Times, een van die onafhankelijke (geblokkeerde) media, gaat het zelfs om 65.000 websites die worden geblokkeerd door de Roskomnadzor, de Russische mediawaakhond. Volgens de krant is het gebruik van VPN’s met 5.300 procent toegenomen sinds de blokkade van de Russische overheid. Die zou een oogje dichtknijpen voor het systeem, en heeft VPN’s nog niet bij wet verboden. Volgens Gregory Asmolov, expert communicatie bij de King’s College-universiteit in Londen, gaat dat de komende tijd ook niet gebeuren. Geen volledige blokkade “De staat is niet geïnteresseerd in een volledige blokkade. Hij begrijpt dat veel Russen pagina’s als Facebook en Instagram niet gebruiken om uit te zoeken wat er nu echt allemaal gebeurt, maar gewoon om contact te hebben met naasten en vrienden, en voor entertainment. Rusland wil ook niet te veel frustraties opwekken”, wordt Asmolov geciteerd in het Britse dagblad The Times. Wel maakt de Russische overheid het de VPN-bedrijven zelf moeilijk. Op 15 maart deelde Alexander Khinshtein, voorzitter van de parlementaire commissie voor Informatie, Technologie en Communicatie van de Russische Staatsdoema, mee dat de Roskomnadzor al “twee dozijn aan populaire VPN-diensten kon blokkeren”. De voorzitter van de commissie Staatsconstructies, Andrej Klikhas, gaf in een interview met het Russische persagentschap RBC wel mee dat gebruikers die VPN-diensten installeerden geen boete of veroordeling riskeren.

De nieuwe Indiase wet op de gegevensregulering vereist dat VPN-providers buitensporige klantgegevens vijf jaar bewaren. Als reactie hierop sluiten ExpressVPN en Surfshark hun Indiase servers. De nieuwe Indiase VPN-regel wordt van kracht op 27 juni 2022 en vereist dat VPN-providers de echte namen van gebruikers, toegewezen IP-adressen en gebruikspatronen opslaan, naast andere identificerende gegevens. De nieuwe wet is opgesteld om cybercriminaliteit te helpen bestrijden, maar VPN-providers beweren dat het onverenigbaar is met het doel van VPN's, namelijk om de activiteit van gebruikers privé te houden. Vorige week kondigde ExpressVPN zijn beslissing aan om zich terug te trekken uit India, zeggende dat de wet te ver gaat en het venster voor misbruik zou kunnen openen. "Wij geloven dat de schade die wordt aangericht door mogelijk misbruik van dit soort wetten veel groter is dan het voordeel dat wetgevers beweren dat het eruit zou komen", aldus het bedrijf. Dinsdag zei een andere grote VPN-provider, Surfshark, dat het ook zijn servers in India zou afsluiten. "Surfshark opereert met trots onder een strikt "no logs" -beleid, dus dergelijke nieuwe vereisten gaan in tegen het kernethos van het bedrijf," zei het bedrijf. De servers worden voor 27 juni 2022 afgesloten. Nadat de nieuwe wet van kracht wordt, zal het virtuele Indiase servers introduceren die zich fysiek in Singapore en Londen bevinden. Surfshark merkte ook op dat VPN-providers die India verlaten de "ontluikende" IT-sector zouden schaden. Sinds 2002 zijn bijna 255 miljoen Indiase gebruikersaccounts gelekt. "Het nemen van dergelijke radicale maatregelen die de privacy van miljoenen mensen in India sterk beïnvloeden, zal hoogstwaarschijnlijk contraproductief zijn en de groei van de sector in het land sterk schaden. Uiteindelijk kan het verzamelen van buitensporige hoeveelheden gegevens binnen de Indiase jurisdictie zonder robuuste beschermingsmechanismen leiden tot nog meer inbreuken in het hele land," zei Surfshark.