Malware yang mencuri kata sandi, kartu kredit, dan dompet kripto Anda dipromosikan melalui hasil pencarian untuk salinan bajakan program pengoptimalan CCleaner Pro Windows.
Kampanye distribusi malware baru ini dijuluki “FakeCrack,” dan ditemukan oleh analis di Avast, yang melaporkan mendeteksi rata-rata 10.000 upaya infeksi setiap hari dari data telemetri pelanggannya. Sebagian besar korban ini berbasis di Prancis, Brasil, Indonesia, dan India.
Malware yang didistribusikan dalam kampanye ini adalah pencuri informasi yang kuat yang dapat memanen data pribadi dan aset cryptocurrency dan mengarahkan lalu lintas internet melalui proxy penyadap data.
Pelaku ancaman mengikuti teknik Black Hat SEO untuk memberi peringkat situs web distribusi malware mereka tinggi di hasil Google Penelusuran sehingga lebih banyak orang akan tertipu untuk mengunduh executable yang dicampur.
Daya tarik yang dilihat oleh Avast adalah CCleaner Professional versi crack, pembersih sistem Windows populer dan pengoptimal kinerja yang masih dianggap sebagai utilitas “harus dimiliki” oleh banyak pengguna.
Hasil pencarian beracun membawa korban melalui beberapa situs web yang akhirnya menampilkan halaman arahan yang menawarkan unduhan file ZIP. Halaman arahan ini biasanya dihosting di platform hosting file yang sah seperti filesend.jp atau mediafire.com.
ZIP dilindungi kata sandi menggunakan PIN yang lemah seperti “1234”, yang hanya ada untuk melindungi muatan dari deteksi anti-virus.
File di dalam arsip biasanya bernama “setup.exe” atau “cracksetup.exe,” tetapi Avast telah melihat delapan executable berbeda yang digunakan dalam kampanye ini.
Korban malware ditipu untuk menginstal upaya untuk mencuri informasi yang disimpan di browser web, seperti kata sandi akun, kartu kredit yang disimpan, dan kredensial dompet cryptocurrency.
Selain itu, ia memantau clipboard untuk alamat dompet yang disalin dan menggantinya dengan yang berada di bawah kendali operator malware untuk mengalihkan pembayaran. Fitur pembajakan clipboard ini bekerja dengan berbagai alamat cryptocurrency, termasuk alamat Bitcoin, Ethereum, Cardano, Terra, Nano, Ronin, dan Bitcoin Cash.
Malware ini juga menggunakan proxy untuk mencuri kredensial akun pasar cryptocurrency menggunakan serangan man-in-the-middle yang sangat sulit dideteksi atau disadari oleh korban.
Mekanisme proxy ini ditambahkan melalui kunci registri baru di “HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings”.
Korban dapat menonaktifkannya dengan menavigasi ke Jaringan & internet di Pengaturan Windows dan mengalihkan opsi “Gunakan server proxy” ke Mati.
Kampanye ini sudah tersebar luas, dan tingkat infeksinya tinggi, jadi hindari mengunduh perangkat lunak yang retak dari mana saja, bahkan jika situs unduhan memiliki peringkat tinggi di Google Penelusuran.
Sumber: Bleeping Computer
