Вредоносное ПО, которое крадет ваши пароли, кредитные карты и криптокошельки, продвигается через результаты поиска пиратской копии программы оптимизации Windows CCleaner Pro.
Эта новая кампания по распространению вредоносных программ получила название «FakeCrack» и была обнаружена аналитиками Avast, которые сообщают об обнаружении в среднем 10 000 попыток заражения каждый день из данных телеметрии клиентов. Большинство жертв базируются во Франции, Бразилии, Индонезии и Индии.
Вредоносное ПО, распространяемое в этой кампании, является мощным похитителем информации, который может собирать личные данные и криптовалютные активы и маршрутизировать интернет-трафик через прокси-серверы, захватывающие данные.
SEO-кампания в "черной шляпе"
Злоумышленники используют методы Black Hat Seo, чтобы ранжировать свои веб-сайты распространения вредоносных программ высоко в результатах поиска Google, чтобы больше людей были обмануты в загрузке исполняемых файлов.
Приманка, увиденная Avast, - это взломанная версия CCleaner Professional, популярного "клинера" и оптимизатора производительности для систем на Windows, который по-прежнему (почему-то) считается "обязательной" утилитой многими пользователями.
Инфицированные результаты поиска проводят жертву через несколько веб-сайтов, которые в конечном итоге отображают целевую страницу, предлагающую загрузку ZIP-файла. Целевая страница обычно размещается на легальной файлообменной платформе, такой как filesend.jp или mediafire.com.
ZIP защищен паролем с помощью простого PIN-кода, такого как «1234». PIN нужен только для защиты малвари от обнаружения антивирусом.
Файл внутри архива обычно называется «setup.exe» или «cracksetup.exe», но специалистами из Avast отмечены восемь различных исполняемых файлов, используемых в этой вредоносной кампании.
Опасное вредоносное ПО для кражи информации
После установки вредоносного ПО жертвы теряют информацию, хранящуюся в веб-браузерах, такую как пароли учетных записей, сохраненные кредитные карты и учетные данные криптовалютного кошелька.
Кроме того, зловред отслеживает буфер обмена для скопированных адресов кошельков и заменяет их теми, которые находятся под контролем операторов вредоносных программ для перенаправления платежей. Эта функция захвата буфера обмена работает с различными криптовалютными адресами, в том числе для адресов Bitcoin, Ethereum, Cardano, Terra, Nano, Ronin и Bitcoin Cash.
Вредоносное ПО также использует прокси для кражи учетных данных учетной записи криптовалютной биржи, используя атаку «человек посередине», которую жертве очень трудно обнаружить или осознать.
«Злоумышленники смогли настроить IP-адрес для загрузки вредоносного сценария автоматической настройки прокси-сервера (PAC)», — объясняет Avast в отчете.
«Установив этот IP-адрес в системе, каждый раз, когда жертва получает доступ к любому из перечисленных доменов, трафик перенаправляется на прокси-сервер, находящийся под контролем злоумышленника».
Этот механизм проксирования добавляется через новый раздел реестра в
"HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings".
Что делать?
Жертвы могут отключить проксирование, перейдя в «Сеть и Интернет» в настройках Windows и переключив опцию «Использовать прокси-сервер» на «Выкл.».
Вредоносная кампания уже широко распространена, а уровень заражения очень высок, поэтому избегайте загрузки взломанного программного обеспечения из любого места, даже если сайты загрузки имеют высокий рейтинг в поиске Google.