Искатели взломанных версий CCleaner Pro рискуют стать жертвами новой вредоносной кампании

Специалисты Avast обнаружили новую вредоносную кампанию под названием FakeCrack. В ходе операции злоумышленники распространяют вредоносное ПО, похищающее у пользователей пароли, данные банковских карт и криптовалютные кошелки. Распространяется вредонос довольно необычно – предлагается через поисковую выдачу пользователям, ищущим пиратскую версию утилиты CCleaner Pro.

По словам специалистов, ежедневно они фиксируют в среднем 10 тыс. попыток заражения, в основном в Бразилии, Франции, Индонезии и Индии.

С помощью вредоносных SEO-техник злоумышленники поднимают свои сайты, распространяющие вредоносное ПО, вверх в поисковой выдаче Google, чтобы обмануть как можно больше людей.

Зараженные результаты поиска проводят жертву через несколько сайтов, и в конечном итоге она оказывается на лендинговой странице, предлагающей загрузить ZIP-архив. Как правило, лендинговая страница размещена на легитимном хостинге наподобие filesend.jp и mediafire.com.

Содержащийся в ZIP-архиве файл обычно называется setup.exe или cracksetup.exe, но специалисты выявили в данной кампании восемь различных исполняемых файлов.

Вредоносное ПО не только похищает у пользователей пароли и данные банковских карт, но также мониторит содержимое буфера обмена на предмет наличия в нем скопированных адресов криптовалютных кошельков и подменяет их криптовалютными адресами мошенников. Функция перехвата данных из буфера обмена поддерживает криптовалютные адреса Bitcoin, Ethereum, Cardano, Terra, Nano, Ronin и Bitcoin Cash.

Вредонос также использует прокси для кражи учетных данных пользователей криптовалютных бирж с помощью атаки «человек посередине».