Злонамерниот софтвер кој краде лозинки, кредитни картички и крипто-паричници се подметнува на жртвите преку резултатите од пребарувањето за пиратски копии на CCleaner Pro Windows програма за оптимизација.
Оваа нова кампања за дистрибуција на малициозен софтвер се нарекува „FakeCrack“, а ја открија аналитичарите од Avast, кои известуваат дека секојдневно откриваат во просек по 10.000 обиди за инфекција, врз основа на телеметриските податоци од корисниците. Повеќето од овие жртви се во Франција, Бразил, Индонезија и Индија.
Малициозен софтвер дистрибуиран во оваа кампања е моќен крадец на информации кој може да собира лични податоци на жртвите и да краде криптовалути од нив.
Оние кои стојат зад оваа кампања користат Black Hat SEO техники за да ги рангираат нивните сајтови за дистрибуција на малициозен софтвер високо во резултатите од пребарувањето на Google, така што што е можно повеќе луѓе ќе бидат измамени да преземаат малициозен софтвер.
Мамката што ја виде Avast е „крекувана“ верзија на CCleaner Professional, популарно средство за чистење на системот на Windows и оптимизатор на перформанси.
Друг софтвер кој беше злоупотребен во оваа кампања е Microsoft Office, но и Movavi Video Editor, промовиран со клучните зборови „cracked“, „serial key“, „product activator“ и „free download“.
Резултатите од пребарувањето ја водат жртвата преку неколку веб-локации до страница која нуди преземање ZIP датотека. Оваа страница обично е хостирана на легитимна платформа за хостирање датотеки како што се filesend.jp или mediafire.com.
ZIP-датотеката е заштитена со лозинка со слаб PIN како што е „1234“, кој е таму само за да ја заштити датотеката од откривање антивирус.
Датотеката во архивата обично се нарекува „setup.exe“ или „cracksetup.exe“, но Avast виде осум различни извршни фајлови што се користат во оваа кампања.
Жртвите биле измамени да инсталираат малициозен софтвер кој краде информации зачувани во веб-прелистувачите, како што се лозинки за сметки, зачувани кредитни картички и акредитации за паричник за криптовалути.
Дополнително, малициозниот софтвер ја следи таблата со исечоци барајќи копирани адреси на паричникот и ги заменува со адреси контролирани од операторот на малициозен софтвер за да ги пренасочи плаќањата. Оваа функција работи со различни адреси на криптовалути, вклучувајќи адреси за Bitcoin, Ethereum, Cardano, Terra, Nano, Ronin и Bitcoin Cash.
Злонамерниот софтвер, исто така, користи прокси за да ги украде ингеренциите на сметките на пазарите на криптовалути со извршување на напад „човек во средина“ што жртвата е многу тешко да го открие.
Кампањата е веќе широко распространета и стапките на инфекција се високи, па Avast препорачува луѓето да избегнуваат да преземаат „кракуван“ софтвер од каде било, дури и ако сајтовите за преземање се високо рангирани во пребарувањето на Google.