Специалисты avast выявили кампанию по краже криптовалют распространяется через поддельное взломанное программное обеспечение.
FakeCrack
Цепочка заражения начинается на сомнительных сайтах, которые якобы предлагают взломанные версии известных и используемых программ, таких как игры, офисные программы или программы для загрузки мультимедийного контента. Все эти сайты размещаются на самых высоких позициях в результатах поисковых систем. На рисунке ниже показана первая страница результатов поиска по ключевому слову crack. Подавляющее большинство результатов на первой странице (выделены) ведут на взломанные сайты, и пользователь в итоге скачивает вредоносное ПО вместо кряка. Эта техника известна как механизм Black SEO, использующий методы индексации поисковых систем.
Далее ссылка ведет на обширную инфраструктуру, которая доставляет вредоносное ПО. Что интересно в этой инфраструктуре, так это ее масштаб. После нажатия на ссылку пользователь перенаправляется через сеть доменов на целевую страницу. Эти домены имеют схожий шаблон и зарегистрированы на Cloudflare с использованием нескольких серверов имен. Первый тип доменов использует шаблон freefilesXX.xyz, где XX - цифры. Этот домен обычно служит только в качестве перенаправления. Перенаправление ведет на другую страницу, использующую домен верхнего уровня cfd. Такие домены cfd служат в качестве перенаправления, а также целевой страницы.
Целевая страница имеет различные визуальные формы. Все они предлагают ссылку на легитимную платформу обмена файлами, которая содержит ZIP-файл вредоносной программы. Среди сервисов обмена файлами, используемых в этой кампании, например, японский файлообменник filesend.jp или mediafire.com.
После перехода по указанной ссылке загружается ZIP-файл. Этот ZIP зашифрован простым паролем (обычно 1234), что предотвращает анализ файла антивирусными программами. Этот ZIP обычно содержит один исполняемый файл, который обычно называется setup.exe или cracksetup.exe. Мы собрали восемь различных исполняемых файлов, которые распространялись в рамках этой кампании.
Вредоносное По собирает приватную информацию из браузеров, такой как пароли или данные кредитных карт. Также собираются данные из электронных кошельков. Данные передаются в зашифрованном формате ZIP на серверы C2. Однако ключ шифрования ZIP-файла жестко закодирован в двоичном файле. В зашифрованном ZIP-файле содержится вся информация, упомянутая ранее: сведения о системе, установленное программное обеспечение, снимки экрана и данные, собранные из браузера, включая пароли или приватные данные криптографических расширений.
Indicators of Compromise
IPv4
- 104.155.207.188
- 185.250.148.76
- 194.180.174.180
- 37.221.67.219
- 45.135.134.211
- 45.140.146.169
- 94.140.114.231
Domains
- 14redirect.cfd
- aeddkiu6745q.cfd
- asud28cv.cfd
- baed92all.cfd
- bny734uy.cfd
- dert1mku.cfd
- er67ilky.cfd
- fr56cvfi.cfd
- freefiles33.xyz
- freefiles34.xyz
- goes12by.cfd
- kohuy31ng.cfd
- lixn62ft.cfd
- mihatrt34er.cfd
- oliy67sd.cfd
- uzas871iu.cfd
- wae23iku.cfd
- wrtgh56mh.cfd
- xzctn14il.cfd
- yhf78aq.cfd
SHA256
- 5423be642e040cfa202fc326027d878003128bff5dfdf4da6c23db00b5942055
- 9254436f13cac035d797211f59754951b07297cf1f32121656b775124547dbe7
- 97f1ae6502d0671f5ec9e28e41cba9e9beeffcc381aae299f45ec3fcc77cdd56
- 9d66a6a6823aea1b923f0c200dfecb1ae70839d955e11a3f85184b8e0b16c6f8
- ac47ed991025f58745a3ca217b2091e0a54cf2a99ddb0c98988ec7e5de8eac6a
- bcb1c06505c8df8cf508e834be72a8b6adf67668fcf7076cd058b37cf7fc8aaf
- c283a387af09f56ba55d92a796edcfa60678e853b384f755313bc6f5086be4ee
- e5286671048b1ef44a4665c091ad6a9d1f77d6982cf4550b3d2d3a9ef1e24bc7