Cảnh báo mã độc phát tán qua công cụ Crack giả mạo

Gần đây CMC Cyber Secutiry đã phát hiện ra một số trang web phát tán các tập tin crack giả mạo. Từ đó, mã độc ở công cụ crack đã đánh cắp dữ liệu và thực thi một loạt mã độc khác nhau trên máy người dùng.

1.     Các trang web giả mạo

Khi người dùng tìm kiếm các phiên bản crack của các phần mềm phổ biến, rất có thể sẽ truy cập vào các trang web cung cấp giả mạo có giao diện như hình dưới đây:

Giao diện trang web cung cấp crack

Các trang web đều có đặc điểm chung là:

• Chỉ đăng bài chuyên về crack phần mềm
• Cung cấp mô tả các phần mềm một cách chi tiết để lấy lòng tin
• Cung cấp link download ngay ở đầu bài viết để người dùng dễ mắc bẫy

Sau đó, khi truy cập các đường link download, người dùng sẽ được chuyển hướng qua một loạt trang web rút gọn và đích đến là các trang web http và cung cấp các đường link với giao diện như sau để tải về tập tin crack.

Giao diện trang tải xuống tập tin crack giả

2.     Tập tin crack giả mạo

Tập tin crack mà người dùng tải về có định dạng zip, sau khi giải nén ra sẽ bao gồm 1 file zip khác được nén với mật khẩu. Mật khẩu sẽ được cung cấp trong file text đi kèm.

File text chứa mật khẩu giải nén

Sau khi giải nén, người dùng sẽ có tập tin exe để thực thi. Tập tin crack được đóng gói sử dụng phiên bản mod của chương trình 7zfsx, khi thực thi sẽ tiến hành giải mã và thực thi payload.

Tập tin crack giả mạo mà người dùng đã tải xuống.

Danh sách các tên mà các tập tin crack sử dụng thường sẽ gồm:

• 32_64_ver_2_bit.exe
• x86_x64_setup.exe
• Mainsetupv1.0.exe
• Setup.exe

Các bước thực thi với mỗi tập tin crack lại có một vài thay đổi khác nhau, qua nhiều bước giải mã – làm rối code để khiến việc phát hiện trở nên khó khăn hơn. Sau cùng, đoạn payload sẽ được thực thi bằng kỹ thuật ProcessHollowing RunPE.

Quá trình thực thi của file crack

3.     Phân tích hành vi payload

          Sau khi phân tích payload, phát hiện ra một số hành vi nguy hiểm như:

• Thu thập dữ liệu người dùng từ các trình duyệt web như Mozilla Firefox, Google Chrome,  Brave, Opera, Chromium,… bao gồm cookie, form tự động điền, mật khẩu.
• Thu thập thông tin về tài khoản người dùng, thông tin về máy tính, chụp ảnh màn hình desktop, thông tin ví điện tử crypto.
• Tải và thực thi các mẫu mã độc khác

Quá trình đánh cắp thông tin và tải các mã độc khác.

Mẫu mã độc này được biết đến trước đó với tên CryptoBot, đồng thời các mẫu mã độc khác nhau được tải về có nguy cơ gây ra nhiều tác hại nguy hiểm cho máy tính người dùng đặc biệt là dòng mã hóa dữ liệu (STOP DJVU).

KHUYẾN CÁO

Người dùng khi sử dụng máy tính và internet cần thận trọng, không sử dụng phần mềm crack, kiểm tra tập tin trước khi thực thi, cài đặt và update thường xuyên giải pháp bảo mật (CMC Enpoint Securty/CMC Internet Security/ CMC Antivirus,…) đồng thời thay đổi mật khẩu thường xuyên để tăng cường bảo mật.

Dưới đây là danh sách các trang web nguy hiểm mà cmc ghi nhận được. Ngoài ra, còn có rất nhiều trang web giả mạo khác còn chưa được phát hiện, người dùng cần cẩn trọng nhận dạng các trang web cũng như tập tin theo các dấu hiệu ở trên để tránh bị khai thác.

• activationkeys[.info
• crackrules[.]com
• lcrack[.]net
• freeprosoftz[.]com
• protoolactive[.]com
• crackfullpc[.]com
• 9to5crack[.]com
• crackreview[.]com
• crackkits[.]com
• crackedfine[.]com
• crackmines[.]com
• fulllicensekey[.]com
• iamactivator[.]com
• kalicrack[.]com
• fullcrack4u[.]com