Les sites de crack pour distribuer des malwares : ça marche encore bien en 2020

Dans cet article initié en 2011 puis mis à jour en 2012, je parlais des faux sites de cracks qui au final distribuaient des malwares.
Nous sommes en 2020 et le groupe derrière ces sites semblent toujours actifs !
Ainsi, ils continuent de mettre en ligne de des sites de keygen et cracks qui débouchent sur des logiciels malveillants.

Voici une description de l'infrastructure et les trojan, adwares et autres malwares que vous pouvez récolter à partir de ces derniers.

Les sites de crack pour distribuer des malwares : ça marche encore bien en 2020

Faux site de crack : ça marche encore bien en 2020

Première chose à savoir, depuis environ 2018, de nombreux faux sites de cracks ont été mis en ligne.
Le but était de distribuer des PUP qui parfois ont une frontière assez mince avec de "vrais" logiciels malveillants.
J'en avais un peu parlé dans ce topic en anglais : [en] PUPs by Cracks/Keygen

Donc cela reste une forme de distribution de malwares toujours employés.
Ici ce qui nous intéresse, c'est ce groupe qui semble être actif depuis des années pour pousser des programmes malveillants.

Pourquoi est-ce le même groupe qui diffuse des malwares ?

Quelques informations qui font penser que qu'il s'agit bien du même groupe.
Voici la liste des faux sites de cracks identifiés jusque là :

  • crackinns.com
  • torrentheap.com
  • crackheaps.com
  • cracknets.net
  • keygenit.net
  • keygenom.net
  • cracksnet.net (redir sur cracknets.net)
  • keygenguru.com (redir sur keygenninja.com)
  • cracksgurus.com
  • keygenninja.com
  • serialms.com
  • mackeygens.com
  • mediagetsite.com
  • cracksnet.net (redir sur cracknets.net)
  • cracknet.net (dispatch sur les sites vitrines)
  • mediagetsite.com (dispatch sur les sites vitrines)
  • get.ziplink.xyz (download de malware)
  • get.ziplink.stream (download de malware)

crackgurus.com fait penser à crackguru.com qui avait été utilisé courant 2011.
Si l'on regarde l'aspect du site Serialms.com il ressemble beaucoup à crackinn.com du précédent article.

Faux sites de cracks pour distribuer des malwares
Faux sites de cracks pour distribuer des malwares

cracksgurus.com est le même site que précédemment avec une version un peu plus moderne.

Faux sites de cracks pour distribuer des malwares

Lorsque l'on télécharge, on est redirigé vers "le noeud central" à l'adresse cracknet.net.
Là aussi le site ressemble beaucoup à celui dans l'article de 2011.

Faux sites de cracks pour distribuer des malwares

Pour éviter que le site soit considéré comme hébergeant des logiciels malveillants, les archives ZIP sont protégés par un mot de passe.
Cela évite les analyses automatisées bien qu'avec un mot de passe aussi simple, des bots peuvent tout de même ouvrir l'archive ZIP.

L'archive ZIP renferme un installeur SFX qui est lui aussi protégé par un mot de passe.

Au moment de l'exécution, l'antivirus Windows Defender intercepte ce dernier en Trojan:Win32/Bearfoos.A

Trojan:Win32/Bearfoos.A détecté par Windows Defender

Des trojans et adwares à gogo

Si l'antivirus ne réagit ou si l'utilisateur a la bêtise de le désactiver pour forcer l’exécution, c'est la catastrophe.
Un Pack de plusieurs trojans et cheval de troie s'installe alors sur le PC.

Le keygen décompresse alors les malwares pour les exécuter.

Installation d'un trojan sur Windows

Il utilise même un installeur MSI pour les installer, cela pour brouiller les pistes des détections comportementales.

Installation d'un trojan sur Windows

Le contrôle des comptes utilisateur (UAC) demande alors les accès administrateur sur Windows.

Installation d'un trojan sur Windows

Même chose avec cet EXE qui a un nom plus que suspicieux.

Installation d'un trojan sur Windows

Puis cela continue avec d'autres exécutables et MSI.

Installation d'un trojan sur Windows
Installation d'un trojan sur Windows

Une analyse FRST donne deux éléments au démarrage, quelques dossiers créés et des EXE aléatoires utilisés dans la chaîne d'installation d el charge utile (payload).

Les trojans qui se lancent au démarrage de Windows
Les trojans qui se lancent au démarrage de Windows

Au final, avec plusieurs trojans :

Par exemple le BRSetup.exe (voir 3 captures au dessus) lance deux malwares distincts.

BRSetup.exe droppe deux autres trojans
  • 20623.exe c'est C:\ProgramData\Windows Host\Windows Host.exe qui s'exécute ensuite au démarrage du PC via une clé RUN
  • Le second est un Password Stealer. Ils volent les numéros de séries des logiciels installés dans le PC mais aussi les mots de passe (password stealer) stockés notamment dans les navigateurs. Puis il se ferme, ni vu, ni connu. Pas besoin de rester actif qui peut générer des détections antivirus par la suite. A lire éventuellement : Les vols de mot de passe sur les navigateurs WEB

Ci-dessous, le JSON de Login de Firefox qui est envoyé à un serveur.

Le cheval de troie (password stealer) envoie les logins stockés dans Firefox
Si vous avez été touché par ces malwares, changez tous mots de passe depuis un PC sûr.

Le trojan Miner CryptoSignalPro.

Un trojan Miner via CryptoSignalPro

Enfin pour arrondir les fins de mois, un adware est aussi installé sous la forme d'une extension sur le navigateur internet.

On trouve en bas à droite une mention Ad by Browser Extension qui redirige vers la régie de pub advertising-support.com.
Sur Chrome, ils ne sont pas cassés la tête sur le nom =)

Lors de l'utilisation des navigateurs internet, on est harcelé par des popups de pubs.
Elles redirigent bien entendu vers du contenu malveillant.
Ici des arnaques de support téléphonique qui vont en plus bloquer le navigateur internet.

Sites avec de fausses erreurs pour diffuser des arnaques de support téléphoniques

Xylitol a aussi décrit la chaîne d'infection sur ce forum.
Selon le site ou les campagnes on a pas forcément la même chose au bout.

Coïncidence marrante, une désinfection sur le forum avec ce pack à la suite du téléchargement d'un de ces cracks malveillants.
On retrouve CryptoSignalPro et le dossier Windows Host.

Désinfection des trojans liés à ces sites de cracks malveillants

Des sites avec de fortes audiences

keygenninja.com semble être le plus actif en terme d’audience avec à peu près 10k visiteurs par jour.

Les statistiques du nombre de visiteurs sur les faux sites de cracks et keygen

Le nombre de téléchargement s'élève à 13k par jour.
On peut donc imaginer que le nombre de PC infectés par mois n'est pas négligeable et que cela est lucratif.
Il faut voir que le pack installe plusieurs trojans et même des PUPs et Adwares. On image donc que le groupe est inscrit à plusieurs systèmes d'affiliations de malware.

D'autant que cela ne demande pas non plus énormément de travail pour maintenir ces sites une fois mis en place.
Il faut juste maintenir la base de cracks à jour mais on peut automatiser.
De quoi s'occuper ensuite avec d'autres campagnes de malwares pour gagner plus.

Le nombre de téléchargement de malwares par jour

Plusieurs exe différents sont mis en ligne pour contourner les détections antivirus.

Le nombre de téléchargement de malwares par jour

Par exemple sur VirusTotal, on trouve des exécutables malveillants sur keygenguru.com remontant à 2013.

keygenguru.com - un site malveillant de crack de 2013

Du côté de cracknet.net, on voit des dates autour de 2014.

cracknet.net site de téléchargement de malwares

Bref ça tourne depuis un sacré moment, mais ce n'est pas nouveau au regard de mon article de 2011.

keygens.pro un autre site de crack malveillant

On trouve aussi un autre groupe qui utilise le site keygens.pro pour distribuer des cracks malveillants.
Ce dernier est aussi très porteur, puisqu'il est classé 150e sur Alexa.

L'audience de keygens.pro qui renvoie aussi des malwares

Le domaine est ancien et a été mis à jour en Avril 2019 peut-être à la suite d'un rachat.

Name keygens.pro
Date de création 2016-03-25 22:36:32
Dernière mise à jour : 2020-04-29 12:33:31

Si on jète un coup d'oeil à VirusTotal, on peut remonter à Juillet 2019.

Le domaine keygens.pro qui diffuse des malwares
Le domaine keygens.pro qui diffuse des malwares

Les détections du domaine keygens.pro ne sont pas terribles.

Le domaine keygens.pro qui diffuse des malwares

Toutefois, MBAM le bloque.
Par exemple ci-dessous l'extension Malwarebytes Browser Guard le classe en malware.

Blocage du du faux site de crack par Malwarebytes Browser Guard comme malware

Mais au moment de rédiger l'article, bizarrement, il est down :>

keygens.pro down

Conclusion

Comme on peut le constater l'infrastructure mentionnée en 2011 est encore en place.
Difficile de dire s'ils ont continué sans interruption depuis 2011.
Mais vu le nombre de téléchargement par jour, il est fort probable que non afin maximiser les revenus.

Comme on aime à le rappeler, attention aux sources de téléchargements.
Les sources inconnues sont souvent synonymes de logiciels malveillants.

Je le répète, si vous êtes tombés sur ces malwares, il faut impérativement changer tous vos mots de passe, ils ont été volés.

On termine avec quelques liens :

Pour protéger son PC des virus :

Pour la désinfection ça se passe ici :

Un grand MERCI à Xylit0l pour les compléments d'informations =)