A borítókép forrása: BleepingComputer
Emlékszünk még a CC Cleaner-re? A néhány éve ─ asztali és mobilos környezetben egyaránt ─ népszerű optimalizáló programhoz épp ismertésge okán többször készítettek már káros kódot tartalmazó kalózverziót. A múlt héten ismét egy ilyen kampányról érkeztek hírek.
Az Avast fedezte fel azt a jelszavakat, hitelkártya és kriptotárca adatokat lopó malware-t, amelyet a támadók a CCleaner Pro kalózmásolatának álcázott ZIP állományban rejtettek el.
A FakeCrack-re keresztelt malware naponta átlagosan 10 000 fertőzési kísérletet hajtott végre ─ derült ki az Avast telemetriai adataiból. A legtöbb áldozat Franciaországban, Brazíliában, Indonéziában és Indiában található. A rosszindulatú szoftver a fertőzött rendszeren képes begyűjteni személyes adatokat és kriptoeszközöket, valamint átirányítani az internetes forgalmat különböző adathalász proxy-kon keresztül.
A „játék” neve: Black hat SEO
A támadók a jól ismert Black Hat SEO technikát alkalmazták, amelynek lényege, hogy különböző módszerek segítségével a rosszindulatú szoftvereket terjesztő webhelyeiket a Google keresési találatokban magasan rangsorolják. Így amikor a felhasználó rákeres az adott kifejezésre ─ például esetünkben a CC Cleaner-re ─ a találati listában a káros weboldalak elöl szerepelnek. A támadók ezzel minél több embert tudnak rávenni arra, hogy töltsék le a kártékony programmal fertőzött futtatható fájlokat.
Meg kell azonban jegyezni, hogy a támadók nem csupán a CC Cleanerrel próbálkoztak a kampány során, Microsoft Office és a Movavi Video Editor szoftverekhez is készítettek káros verziót, amelyeket a “cracked”, “serial key”, “product activator” és “free download” kulcsszavakkal reklámoztak.
Mi történik egy ilyen támadáskor?
Miután az áldozat rákattintott egy ilyen weboldalra, egy ZIP fájl letöltését ajánlja fel a rendszer. A tömörített állomány egy gyenge jelszóval védett (például “1234”), amely valójában csak azt a célt szolgálja, hogy megvédje a káros állományt a vírusirtók észlelésétől. Az archívumban található fájl neve általában “setup.exe” vagy “cracksetup.exe”, de az Avast nyolc különböző nevű futtatható fájlt talált a kampányban.
A letöltött és futtatott fájl a webböngészőkben tárolt információkat, például fiókjelszavakat, elmentett hitelkártya és kriptotárca hitelesítő adatokat lopta el, emellett figyelte a vágólapra másolt tárcacímeket, és kicserélte azokat olyanokra, amelyek a bűnözők birtokában vannak. A rosszindulatú szoftver proxykat is használt, hogy ellopja a kriptotőzsdei fiókok hitelesítő adatait.
A hálózati forgalom átirányítása
Az Avast jelentésében az áll, hogy a támadók képesek voltak beállítani egy IP címet egy rosszindulatú Proxy Auto Configuration script (PAC) letöltésére. Minden alkalommal, amikor az áldozat a felsorolt domainek bármelyikét elérte, a hálózati forgalom a támadó irányítása alatt álló proxy kiszolgálóra irányult át. Ennek a proxy mechanizmusnak a nyomai a registry kulcsok között is megtalálhatóak, ugyanis a “HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings” alatt egy új registry kulcs jön létre.
Az áldozatok ezt a Windows beállítások Hálózat és internet menüpontjába navigálva a „Proxykiszolgáló használata” opciót kikapcsolva deaktiválhatják.
A fent bemutatott támadókampány remek példa arra, hogy miért legyünk óvatosak a szoftverek forrásainak ellenőrzésekor, és miért kizárólag megbízható webhelyekról szerezzük be a programokat. A kalózszoftverek veszélyeiről egy korábbi tippünkben bővebben is írtunk, amely az Intézet weboldalán, itt érhető el.