2022-08-22 圖書館 Avast資安研究人員近期揭露新興惡意程式FakeCrack活動，駭客於搜尋引擎上提供破解軟體下載站，受駭者執行下載後個人資訊與加密貨幣等敏感資料將被竊取。

首先，駭客於網站上提供知名付費軟體或遊戲等破解程式，此類網站皆位於搜尋引擎搜尋結果之第一頁，受駭者點選後將下載惡意程式而非破解軟體，此技術被稱為黑色搜尋引擎最佳化(Black SEO mechanism)。Avast資安研究人員以知名電腦清理軟體CCleaner Pro為例，每年訂閱費用為29.95美元，因此許多網站提供破解版供大家使用。惟於Google搜尋「CCleaner Pro Crack」時，搜尋結果之第一頁即有5個網站由駭客所建立，點選網站內之連結後，會被導引至下載壓縮檔之頁面，下載後解壓縮時需輸入簡單密碼，主要為躲避防毒軟體偵測，下載與解壓縮後即為執行檔。解壓縮後之文件通常被命名為「setup.exe」或「cracksetup.exe」，其中即包括惡意程式。

Avast資安研究人員蒐集8種惡意程式樣本，發現幾乎皆可掃描受駭者電腦，並自瀏覽器蒐集密碼與信用卡資料，或從加密貨幣錢包蒐集資料，再將資料傳送至遠端駭客所控制之伺服器。另外，駭客使用之其中一腳本，為每次使用剪貼簿時查看內容是否出現加密錢包地址，若有即換成駭客之錢包地址。由駭客擁有之37個加密錢包地址推算，至少已竊取50,000美元。第二個有趣之技術為使用代理(proxy)功能竊取敏感資料，駭客於程式碼中設定IP位址來下載惡意代理自動代理腳本(Proxy Auto Config, PAC)，設定完成後受駭者若瀏覽駭客列出之網域，資料皆會導引至駭客之代理伺服器，此攻擊容易隱藏於受駭者電腦內且不容易被注意。

Avast表示，每天約阻擋1萬個惡意破解版CCleaner Pro網頁，潛在受駭者主要位於巴西、印度、印尼及法國。

相關網址：https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16752