Les analystes d’Avast ont découvert une nouvelle campagne de distribution de logiciels malveillants, appelée ‘FakeCrack’, cette stratégie est mise en avant dans les résultats de recherche en utilisant une copie illégale du programme d'optimisation Windows CCleaner Pro.

Le malware distribué est un puissant voleur d'informations qui peut récolter des données personnelles et des actifs en crypto-monnaies et acheminer le trafic Internet par le biais de proxys de captation de données.

Les attaquants utilisent des techniques de référencement Black Hat pour donner à leurs sites Web de distribution de logiciels malveillants une position élevée dans les résultats de recherche de Google, afin d'inciter plus de gens à télécharger les programmes exécutables.

Ensuite, les résultats contaminés conduisent la victime à télécharger un fichier ZIP qui généralement proposé par une page hébergée sur une plateforme d'hébergement de fichiers légitime comme ‘filesend.jp’ ou ‘mediafire.com’. Ce fichier est sécurisé par un code PIN faible comme "1234", qui n'est là que pour protéger la charge utile de la détection antivirus.

Le nom du fichier contenu dans l'archive est généralement "setup.exe" ou "cracksetup.exe", mais Avast a vu huit exécutables différents utilisés dans cette campagne.

Le logiciel malveillant se sert également de proxies pour voler les identifiants de comptes de marchés de crypto-monnaies à l'aide d'une attaque man-in-the-middle très difficile à détecter.

Ce mécanisme de proxy est ajouté via une nouvelle clé de registre dans "HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings".

Les victimes peuvent le désactiver en accédant à la section Réseau et Internet dans les paramètres de Windows et en désactivant l'option "Utiliser un serveur proxy".

Étant donné que la campagne est déjà très répandue et que les taux d'infection sont élevés, il est recommandé de ne pas télécharger les logiciels piratés, même si les sites de téléchargement sont bien classés dans Google.