Les sites de crack pour distribuer des malwares : ça marche encore bien en 2020

Dans cet article initié en 2011 puis mis à jour en 2012, je parlais des faux sites de cracks qui au final distribuaient des malwares.
Nous sommes en 2020 et le groupe derrière ces sites semblent toujours actifs !
Ainsi, ils continuent de mettre en ligne de des sites de keygen et cracks qui débouchent sur des logiciels malveillants.

Voici une description de l’infrastructure et les trojan, adwares et autres malwares que vous pouvez récolter à partir de ces derniers.

Faux site de crack : ça marche encore bien en 2020

Première chose à savoir, depuis environ 2018, de nombreux faux sites de cracks ont été mis en ligne.
Le but était de distribuer des PUP qui parfois ont une frontière assez mince avec de “vrais” logiciels malveillants.
J’en avais un peu parlé dans ce topic en anglais : [en] PUPs by Cracks/Keygen

Donc cela reste une forme de distribution de malwares toujours employés.
Ici ce qui nous intéresse, c’est ce groupe qui semble être actif depuis des années pour pousser des programmes malveillants.

Pourquoi est-ce le même groupe qui diffuse des malwares ?

Quelques informations qui font penser que qu’il s’agit bien du même groupe.
Voici la liste des faux sites de cracks identifiés jusque là :

• crackinns.com
• torrentheap.com
• crackheaps.com
• cracknets.net
• keygenit.net
• keygenom.net
• cracksnet.net (redir sur cracknets.net)
• keygenguru.com (redir sur keygenninja.com)
• cracksgurus.com
• keygenninja.com
• serialms.com
• mackeygens.com
• mediagetsite.com
• cracksnet.net (redir sur cracknets.net)
• cracknet.net (dispatch sur les sites vitrines)
• mediagetsite.com (dispatch sur les sites vitrines)
• get.ziplink.xyz (download de malware)
• get.ziplink.stream (download de malware)

crackgurus.com fait penser à crackguru.com qui avait été utilisé courant 2011.
Si l’on regarde l’aspect du site Serialms.com il ressemble beaucoup à crackinn.com du précédent article.

cracksgurus.com est le même site que précédemment avec une version un peu plus moderne.

Lorsque l’on télécharge, on est redirigé vers “le noeud central” à l’adresse cracknet.net.
Là aussi le site ressemble beaucoup à celui dans l’article de 2011.

Pour éviter que le site soit considéré comme hébergeant des logiciels malveillants, les archives ZIP sont protégés par un mot de passe.
Cela évite les analyses automatisées bien qu’avec un mot de passe aussi simple, des bots peuvent tout de même ouvrir l’archive ZIP.

L’archive ZIP renferme un installeur SFX qui est lui aussi protégé par un mot de passe.

Au moment de l’exécution, l’antivirus Windows Defender intercepte ce dernier en Trojan:Win32/Bearfoos.A

Des trojans et adwares à gogo

Si l’antivirus ne réagit ou si l’utilisateur a la bêtise de le désactiver pour forcer l’exécution, c’est la catastrophe.
Un Pack de plusieurs trojans et cheval de troie s’installe alors sur le PC.

Le keygen décompresse alors les malwares pour les exécuter.

Il utilise même un installeur MSI pour les installer, cela pour brouiller les pistes des détections comportementales.

Le contrôle des comptes utilisateur (UAC) demande alors les accès administrateur sur Windows.

Même chose avec cet EXE qui a un nom plus que suspicieux.

Puis cela continue avec d’autres exécutables et MSI.

Une analyse FRST donne deux éléments au démarrage, quelques dossiers créés et des EXE aléatoires utilisés dans la chaîne d’installation d el charge utile (payload).

Au final, avec plusieurs trojans :

• Un Trojan Miner utilisant CryptoSignalPro pour miner
• haleng.exe 46/71 sur VirusTotal
• Windows Host.exe 51/71 sur VirusTotal
• Mais durant la chaîne d’exécution certains trojan se sont lancés pour se refermer

Par exemple le BRSetup.exe (voir 3 captures au dessus) lance deux malwares distincts.

• 20623.exe c’est C:\ProgramData\Windows Host\Windows Host.exe qui s’exécute ensuite au démarrage du PC via une clé RUN
• Le second est un Password Stealer (catégorie Trojan Stealer). Ils volent les numéros de séries des logiciels installés dans le PC mais aussi les mots de passe (password stealer) stockés notamment dans les navigateurs. Puis il se ferme, ni vu, ni connu. Pas besoin de rester actif qui peut générer des détections antivirus par la suite. A lire éventuellement : Les vols de mot de passe sur les navigateurs WEB

Ci-dessous, le JSON de Login de Firefox qui est envoyé à un serveur.

Le trojan Miner CryptoSignalPro.

Enfin pour arrondir les fins de mois, un adware est aussi installé sous la forme d’une extension sur le navigateur internet.

On trouve en bas à droite une mention Ad by Browser Extension qui redirige vers la régie de pub advertising-support.com.
Sur Chrome, ils ne sont pas cassés la tête sur le nom =)

Lors de l’utilisation des navigateurs internet, on est harcelé par des popups de pubs.
Elles redirigent bien entendu vers du contenu malveillant.
Ici des arnaques de support téléphonique qui vont en plus bloquer le navigateur internet.

Xylitol a aussi décrit la chaîne d’infection sur ce forum.
Selon le site ou les campagnes on a pas forcément la même chose au bout.

Coïncidence marrante, une désinfection sur le forum avec ce pack à la suite du téléchargement d’un de ces cracks malveillants.
On retrouve CryptoSignalPro et le dossier Windows Host.

Des sites avec de fortes audiences

keygenninja.com semble être le plus actif en terme d’audience avec à peu près 10k visiteurs par jour.

Le nombre de téléchargement s’élève à 13k par jour.
On peut donc imaginer que le nombre de PC infectés par mois n’est pas négligeable et que cela est lucratif.
Il faut voir que le pack installe plusieurs trojans et même des PUPs et Adwares. On image donc que le groupe est inscrit à plusieurs systèmes d’affiliations de malware.

D’autant que cela ne demande pas non plus énormément de travail pour maintenir ces sites une fois mis en place.
Il faut juste maintenir la base de cracks à jour mais on peut automatiser.
De quoi s’occuper ensuite avec d’autres campagnes de malwares pour gagner plus.

Plusieurs exe différents sont mis en ligne pour contourner les détections antivirus.

Par exemple sur VirusTotal, on trouve des exécutables malveillants sur keygenguru.com remontant à 2013.

Du côté de cracknet.net, on voit des dates autour de 2014.

Bref ça tourne depuis un sacré moment, mais ce n’est pas nouveau au regard de mon article de 2011.

keygens.pro un autre site de crack malveillant

On trouve aussi un autre groupe qui utilise le site keygens.pro pour distribuer des cracks malveillants.
Ce dernier est aussi très porteur, puisqu’il est classé 150e sur Alexa.

Le domaine est ancien et a été mis à jour en Avril 2019 peut-être à la suite d’un rachat.

Name keygens.pro
Date de création 2016-03-25 22:36:32
Dernière mise à jour : 2020-04-29 12:33:31

Si on jète un coup d’oeil à VirusTotal, on peut remonter à Juillet 2019.

Les détections du domaine keygens.pro ne sont pas terribles.

Toutefois, MBAM le bloque.
Par exemple ci-dessous l’extension Malwarebytes Browser Guard le classe en malware.

Mais au moment de rédiger l’article, bizarrement, il est down :>

Conclusion

Comme on peut le constater l’infrastructure mentionnée en 2011 est encore en place.
Difficile de dire s’ils ont continué sans interruption depuis 2011.
Mais vu le nombre de téléchargement par jour, il est fort probable que non afin maximiser les revenus.

Comme on aime à le rappeler, attention aux sources de téléchargements.
Les sources inconnues sont souvent synonymes de logiciels malveillants.

On termine avec quelques liens :

• Crack ou keygen : Qu’est ce que c’est ?
• Le danger des cracks et keygen !

Pour protéger son PC des virus :

Pour la désinfection ça se passe ici :

Un grand MERCI à Xylit0l pour les compléments d’informations =)