Software malicioso FakeCrack

Los ciberdelincuentes han establecido una infraestructura a gran escala con el objetivo de entregar malware de robo de información y criptografía a sus víctimas. Las amenazas de malware se presentan a los usuarios como versiones descifradas de productos de software legítimos, videojuegos y otras aplicaciones con licencia. Para encontrar estas versiones descifradas, los usuarios visitan varios sitios web dudosos. Sin embargo, los operadores de esta campaña también han utilizado técnicas Black SEO para que sus sitios web corruptos aparezcan entre los mejores resultados de los motores de búsqueda.

Los detalles sobre la campaña y el malware que entrega fueron revelados en un informe de los expertos en seguridad cibernética, que rastrean bajo el nombre de FakeCrack. Según sus hallazgos, los objetivos de la dañina operación se ubicaron principalmente en Brasil, India, Indonesia y Francia. Además, creen que los ciberdelincuentes detrás de FakeCrack han logrado desviar hasta ahora más de $50 000 en criptoactivos de sus víctimas.

El malware entregado en la campaña FakeCrack llega a las máquinas de las víctimas en forma de archivos ZIP. Los archivos están encriptados con una contraseña común o simple, como 1234, pero sigue siendo lo suficientemente eficiente como para evitar que las soluciones antimalware analicen el contenido del archivo. Cuando se abre, es probable que los usuarios encuentren un solo archivo llamado 'setup.exe' o 'cracksetuo.exe' dentro del archivo.

Una vez que el archivo está activado, ejecutará el malware en el sistema. El primer paso de las amenazas lanzadas como parte de FakeCrack es escanear la PC de la víctima y recopilar información privada, incluidas las credenciales de la cuenta, los datos de la tarjeta de crédito/débito y los detalles de varias aplicaciones de billetera criptográfica. Toda la información extraída se empaqueta dentro de un archivo ZIP encriptado y se extrae a los servidores de Comando y Control (C2, C&C) de la operación. Los investigadores descubrieron que las claves de descifrado de los archivos cargados están codificadas en ellos, lo que facilita mucho el acceso al contenido que contienen.

Las amenazas de malware FakeCrack exhibieron dos técnicas interesantes. Primero, lanzaron un script bastante grande pero muy ofuscado en los sistemas infectados. La función principal de este script es monitorear el portapapeles. Al detectar una dirección de billetera criptográfica adecuada guardada en el portapapeles, el malware la sustituirá con la dirección de una billetera controlada por los piratas informáticos. Después de tres cambios exitosos, el script se eliminará.

La segunda técnica consiste en configurar una dirección IP que descargue un script PAC (Configuración automática de proxy) corrupto. Cuando las víctimas intentan visitar cualquiera de los dominios objetivo, su tráfico se redirige a un servidor proxy controlado por los ciberdelincuentes. Esta técnica es bastante inusual cuando se trata de ladrones de criptomonedas, pero permite a los piratas informáticos observar el tráfico de sus víctimas durante períodos prolongados, con mínimas posibilidades de ser notados.