Avast waarschuwt: Crypto stelende campagne verspreid via nep gekraakte software

Gebruikers die gekraakte software downloaden, lopen het risico dat hackers gevoelige persoonlijke gegevens stelen.

Bent u geïnteresseerd in het downloaden van gratis, gekraakte software? Zo ja, dan moet je weten waar je aan begint.

Als je per ongeluk kwaadaardige, gekraakte software downloadt, kunnen aanvallers alles meenemen wat je op je pc
hebt staan, en dan zit je zonder je gevoelige persoonlijke gegevens en zelfs zonder de software die je in de eerste
plaats probeerde te downloaden. Dit is precies hoe de recent opgedoken FakeCrack campagne zijn zaken doet,
gebruikers verleiden tot het downloaden van nep gekraakte software. De slechte actoren achter de campagne hebben
een uitgebreide infrastructuur gebruikt om malware te leveren en persoonlijke en andere gevoelige gegevens te stelen,
waaronder crypto-activa. Wilt u meer weten? Laten we er eens dieper induiken.

Leveringsinfrastructuur

De infectieketen begint op dubieuze sites die zogenaamd gekraakte versies aanbieden van bekende en gebruikte software,
zoals spelletjes, kantoorprogramma's, of programma's voor het downloaden van multimedia-inhoud.
Al deze sites worden op de hoogste posities in de resultaten van zoekmachines geplaatst. De overgrote meerderheid van de
resultaten op de eerste pagina leiden naar gecompromitteerde crack sites, en gebruikers downloaden uiteindelijk malware in
plaats van de crack. Deze techniek staat bekend als het Black SEO mechanisme dat zoekmachine indexeringstechnieken uitbuit.

Vervolgens leidt een link naar een uitgebreide infrastructuur die malware levert. Het interessante aan deze infrastructuur is de
schaal. Nadat op de link is geklikt, wordt de gebruiker via een netwerk van domeinen omgeleid naar de landingspagina.
Deze domeinen hebben een vergelijkbaar patroon en zijn geregistreerd op Cloudflare met behulp van een paar naamservers.
Het eerste type domein gebruikt het patroon freefilesXX.xyz, waarbij XX cijfers zijn. Dit domein dient meestal alleen als redirector.
De redirect leidt naar een andere pagina met het cfd top-level domein. Deze cfd-domeinen dienen zowel als omleiding als
landingspagina. In totaal heeft Avast ongeveer 10.000 gebruikers beschermd tegen dagelijkse infecties, die zich voornamelijk in
Brazilië, India, Indonesië en Frankrijk bevinden.

JfEtbiOH_4XYlUiz25p9VTRWkiFMi5KSzt79PQqAybGytXSonQKgy7JGM93Q7AB0o4kYaA6u0n2VlJPYO8o6MtHcpNm6mATcBqTMgBRyys_d-r69J6MBUJSZ1bACMvAMBb3othPQ5S6kjxEoAg


Figuur 1: Beschermde gebruikers op de hele leveringsinfrastructuur (periode van 1 dag)

De landingspagina heeft verschillende visuele vormen. Ze bieden allemaal een link naar een legitiem platform voor het delen van
bestanden, dat een malware ZIP-bestand bevat. De bestandsuitwisselingsdiensten die in deze campagne worden misbruikt, zijn
bijvoorbeeld het Japanse filesend.jp of mediafire.com. Een voorbeeld van de landingspagina is hieronder te zien.


gOs3_7qGYKVstPONrFnD4fO_Hd_d_NrFIphnf54lPc6CNsGjkQ7sv7SQd1M9bgsr2_qCRwIDA6kA4SASibRTbq1rajr5hKuXiZAKflNu6jM-hzRXWlCyF1G0sL-H6_PRrPE0P1REWEp3uvJ3WA

Figuur 2: Landingspagina

Geleverde malware

Na het openen van de verstrekte link, wordt het ZIP-bestand gedownload. Dit ZIP-bestand is versleuteld met een eenvoudig
wachtwoord (meestal 1234), waardoor het bestand niet kan worden geanalyseerd door antivirussoftware. Deze ZIP bevat meestal
een enkel uitvoerbaar bestand, meestal setup.exe of cracksetup.exe genaamd. We hebben acht verschillende uitvoerbare bestanden
verzameld die door deze campagne werden verspreid.

Deze acht monsters laten de activiteiten van de stealers zien, waarbij de nadruk ligt op het scannen van de pc van de gebruiker
en het verzamelen van privégegevens uit de browsers, zoals wachtwoorden of creditcardgegevens. Ook gegevens uit elektronische
portemonnees worden verzameld. De gegevens zijn in gecodeerd ZIP-formaat geëxfiltreerd naar C2-servers.
De versleutelingssleutel van het ZIP-bestand is echter hard gecodeerd in het binaire bestand, zodat het verkrijgen van de inhoud niet
moeilijk is. De versleutelde ZIP bevat alle eerder genoemde informatie, zoals de informatie over het systeem, geïnstalleerde software,
een schermafdruk en gegevens die zijn verzameld van de browser, inclusief wachtwoorden of privégegevens van crypto-extensies.

7vijz8mawYPqwjsVp-WXd1_esdP7ffovKO0pm-rdLpJQdLL7NkLyhpVnDCx_9Tuxxe6Uy834KNezT31ciKvzytiW5p7q1Ao6c_OAn0wJ47MxBYgI7tsUsQTNhnfTmG-JfMAjlmtQvqBP0IpOtg

Figuur 3: Uitgefilterde gegevens in ZIP

Q6ab0h7CZ6f29VooninfZ_y_gTtwvg4SnVJ4UiMCvc2F5Uust_c83RKNNQ-XVUVwIWpS5O5tcttRqIxMBjlbH-fw3ZsT0oFiQ3_goDPko7KkOcGrehDzbSugGxUUN7lQnrITiQ7dAdKN8Fn8Vw

Figuur 4: Hardcoded Zip-wachtwoord in het binaire bestand

Persistentie technieken

De geleverde stealer malware maakt gebruik van twee persistentie technieken. Beide technieken waren uitsluitend gericht op het
stelen van crypto-gerelateerde informatie, die we nu in meer detail zullen beschrijven.
Klembordwisselaar techniek

Naast het stelen van gevoelige persoonlijke informatie zoals hierboven beschreven, behielden sommige van de monsters ook
persistentie door twee extra bestanden te droppen. De AutoIt compiler voor de zaak die niet aanwezig is op de computer van de
gebruiker en het AutoIt script. Het script is meestal gedropt in de map AppDataRoamingServiceGet en gepland om automatisch
te draaien op een vooraf bepaalde tijd.

Dit script is vrij groot en zwaar versluierd, maar bij nader onderzoek blijkt het slechts een paar elementaire handelingen te verrichten.
Ten eerste controleert het periodiek de inhoud van het klembord. Als het de aanwezigheid van het adres van de crypto-portemonnee
op het klembord detecteert, verandert het de waarde van het klembord naar het adres van de portemonnee dat onder controle van
de aanvaller staat. Het beschermingsmechanisme verwijdert ook het script na drie succesvolle wijzigingen van het portefeuille-adres
op het klembord. De onderstaande figuur toont de gedeobfusculeerde versie van het deel van het script.

De functie periodic_clipboard_checks wordt in een oneindige lus aangeroepen. Elke aanroep van de check_clipboard functie controleert
de aanwezigheid van het wallet adres in het clipboard en verandert de inhoud naar het door de aanvaller gecontroleerde adres.
De aanvaller is voorbereid op verschillende crypto-portemonnees, variërend van Terra, Nano, Ronin, of Bitcoincash.
De numerieke parameters in de check_clipboard functie zijn niet belangrijk en dienen alleen voor optimalisaties.

uh9pVbDjLysaOn8nHnCnlE7JHl4Bm5Uy_pEA23QluC_XZoFdxxqn26PGjd0wJR9vpn23VaDk94EypvPzYl72jl8YDX1aNGDMrwzD8Q_Cug5EjHQ9dewUWFhjDePV3zL-sj3HuBomXUkSDbtd_A

Figuur 5: Verlaten AutoIt script

In totaal identificeerden we 37 verschillende wallets voor verschillende cryptocurrencies. Sommige waren al leeg, en sommige
konden we niet identificeren. We hebben deze wallets echter gecontroleerd op de blockchain en we schatten dat de aanvaller
ten minste $50.000 heeft verdiend. Als we bovendien de enorme prijsdaling van de Luna-crypto van de afgelopen dagen buiten
beschouwing laten, ging het om bijna 60.000 dollar in ongeveer een periode van een maand.

Proxy stelende techniek

De tweede interessante techniek die we observeerden in verband met deze campagne was het gebruik van proxies om
geloofsbrieven en andere gevoelige gegevens te stelen van sommige crypto-marktplaatsen. Aanvallers waren in staat om een
IP-adres in te stellen om een kwaadaardig Proxy Auto-Configuratie script (PAC) te downloaden. Door dit IP-adres in het systeem
in te stellen, wordt elke keer dat het slachtoffer een van de genoemde domeinen bezoekt, het verkeer omgeleid naar een
proxyserver die onder controle staat van de aanvaller.

Dit type aanval is vrij ongebruikelijk in de context van de cryptostelende activiteit; het is echter zeer eenvoudig om het voor de
gebruiker te verbergen, en de aanvaller kan het verkeer van het slachtoffer op bepaalde domeinen vrij lang observeren zonder
te worden opgemerkt. De onderstaande figuur toont de inhoud van het Proxy Autoconfiguratie Script dat door een aanvaller is
opgezet. Verkeer naar Binance, Huobi, en OKX cryptomarkten wordt omgeleid naar het door de aanvaller gecontroleerde IP adres.

HZpE_kQhXNiWXuw7TaSrmUo_D9jLpntpkNDVuHci1BOvl0X1RWxVc1T-Q8s8eTVJsgD46_Qh2K7exWCv41yuIbk1PAfHw89-FBc0UsXo_-79TbDdjDAN0xjdQ4iFsD2wcthhO9eq0vJyHONyEA
Figuur 6: Proxy autoconfig script​

Hoe de proxy-instellingen te verwijderen

Deze campagne is vooral gevaarlijk vanwege de extensie. Zoals in het begin werd aangetoond, slaagt de aanvaller erin
om de gecompromitteerde sites op hoge posities in de zoekresultaten te krijgen. Het aantal beschermde gebruikers toont
ook aan dat deze campagne vrij wijdverspreid is. Als u vermoedt dat uw computer is gecompromitteerd, controleer dan de
proxy-instellingen en verwijder de schadelijke instellingen met behulp van de volgende procedure.

De proxy-instellingen moeten handmatig worden verwijderd aan de hand van de volgende richtlijnen:

Verwijder AutoConfigURL registersleutel in HKCU\Software\Microsoft\Windows\CurrentVersion\Internetinstellingen

  • Als alternatief, met behulp van GUI:
    • Klik op het Start Menu.
    • Typ Instellingen en druk op enter.
    • Ga naar Netwerk & Internet -> Proxy.
    • Verwijder Script Address en klik op de knop Opslaan.
    • Schakel de optie "Gebruik een proxyserver" uit.

Voor deze campagne misbruiken cybercriminelen de merknamen van populaire software, door illegale, schijnbaar gekraakte
versies ervan te promoten om gebruikers ertoe te verleiden de malware te downloaden. Merknamen die voor deze campagne
worden misbruikt zijn bijvoorbeeld "CCleaner Pro Windows", maar ook "Microsoft Office", "Movavi Video Editor 22.2.1 Crack"
"IDM Download Free Full Version With Serial Key" "Movavi Video Editor 22.2.1 Crack"
"Crack Office 2016 Full Crack + Product Key (Activator) 2022".
Wij raden gebruikers aan om altijd vast te houden aan officiële softwareversies in plaats van gekraakte versies.

Met dank aan Martin Hanzlik, een middelbare school student stagiair die heeft deelgenomen aan het volgen van deze campagne
en aanzienlijk heeft bijgedragen aan deze blog post.


IoC​

Leveringsinfrastructuur​


Delivery infrastructure​

goes12by[.]cfdbaed92all[.]cfdaeddkiu6745q[.]cfd14redirect[.]cfd
lixn62ft[.]cfdkohuy31ng[.]cfdwae23iku[.]cfdyhf78aq[.]cfd
xzctn14il[.]cfdmihatrt34er[.]cfdoliy67sd[.]cfder67ilky[.]cfd
bny734uy[.]cfduzas871iu[.]cfddert1mku[.]cfdfr56cvfi[.]cfd
asud28cv[.]cfdfreefiles34[.]xyzfreefiles33[.]xyzwrtgh56mh[.]cfd

Malware​

SHA-256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Stealer C2 and exfiltration servers​

IP Address
185[.]250.148.76
45[.]135.134.211
194[.]180.174.180
45[.]140.146.169
37[.]221.67.219
94[.]140.114.231

Clipboard veranderingsscript​

SHA-256
97f1ae6502d0671f5ec9e28e41cba9e9beeffcc381aae299f45ec3fcc77cdd56

Malicious proxy server​

IP
104[.]155.207.188

SHA-256
e5286671048b1ef44a4665c091ad6a9d1f77d6982cf4550b3d2d3a9ef1e24bc7


Overgenomen van:
 
Bovenaan Onderaan