Blog

Cracks: ¿Una solución temporal o una excelente forma para desplegar Malware?

Los cracks, se describe formalmente como «un parche creado sin autorización del desarrollador del programa al que modifica, cuya finalidad es la de modificar el comportamiento del software original. Desbloqueando las opciones de pago o todo el programa«, y son más comunes verlos y encontrarlos en plataformas webs, vídeos de YouTube y Foros, donde la temática principal es la de «compartir» los programas con la comunidad. Las intenciones de los usuarios de usar los Cracks, en vez de pagar la licencia o una suscripción a un software en especifico son variados, pero las razones más comunes son las siguientes:

  • No disponer de una tarjeta de crédito/debito para compras internaciones.
  • Precios de suscripciones muy altas.
  • Menores de edad.
  • Evasión de pagos.
  • Desconocimiento.
  • Facilidad de uso.

En la actualidad, uno de los softwares y aplicaciones de servicios más crackeados o «parcheados» por usuarios no autorizados son el Sistema Operativo de Microsoft, Windows; Y la suite de Ofimática Microsoft Office. Además de la Suite para creadores como Adobe, Sony Vegas, Clip Studio y finalmente (y uno de los más extendidos), los videojuegos.

Gracias a lo Cracks , muchas personas alrededor del mundo han podido utilizar sus aplicaciones y entornos de trabajo, sin la necesidad de pagar una licencia o suscripción para disfrutar de los beneficios que el software tiene para ofrecerte como usuario final. Hasta cierto punto, los cracks han otorgado muchas oportunidades de trabajo y de desarrollo a economías subdesarrolladas (un ejemplo claro es Latinoamérica, entre los años 2000 al 2014, la piratería en línea era pan de cada día). Pero, no todo es tan perfecto como nos lo hacen saber.

Actualmente, muchos de los cracks o «parches» que se distribuyen de manera gratuita en Internet, vienen con algún tipo de Malware. Principalmente Troyanos, Spywares, Adwares y Ransomwares. Los cibercriminales entienden que la demanda por los cracks es alto, y de ello aprovechan las instancias para colar sus propios «parches» y comprometer al usuario final.

¿Qué tan bueno son los cracks?

Según un estudio llevado a cabo por Antino Kim, Atanu Lahiri, and Debabrata Dey, investigadores de la universidad de Indiana en el año 2018, cuyo titulo es «The «Invisible Hand» of Piracy: An Economic Analysis of the Information-Goods Supply Chain» o en español «La «mano invisible» de la piratería: Un análisis económico de la cadena de suministro de bienes de información«, donde en el Paper dan una visión muy diferente a lo que muchos de los usuarios creen.

Según las investigaciones que han realizado, la piratería ayuda a que tanto el creador como la distribuidora limiten el precio del contenido. Si no tuvieran que luchar contra esa competencia en la sombra que es la piratería, ambos podrían poner el precio que el propietario quiera. Esto hace que el precio de suscripciones de plataformas de streaming se acerque más al óptimo económico.

Uno de los ejemplos más claros que ponen los investigadores es el de «Juego de Tronos», una de las series más pirateada de la historia, siendo la serie más descargada en 2018, a pesar de que no se emitieran nuevos capítulos. A pesar de ello, HBO no está haciendo mucho por evitar la descarga o el tirar portales de streaming no autorizados, algo con lo que de todas formas tampoco pueden luchar.

Los investigadores añaden que si bien la piratería ayuda a mantener los precios bajos, en otras circunstancias es posible que sí tenga un efecto negativo de manera directa en las ventas de determinados contenidos, sobre todo en el distribuido de manera física (algo que en pleno 2022 es ya inexistente). Sin embargo, la investigación ayuda a recalcar uno de los beneficios positivos que tiene la piratería, además de otros muchos beneficios, como el hacer llegar el nombre de la serie a más personas. Pero, siempre se puede tomar de manera subjetiva.

Más información de la investigación, haz clic aquí.

Las Bandas Cibercriminales miran a los Crack

Hasta el momento de realizar esta investigación, no se tiene una fecha en especifico del cuando se inicio esta actividad en Internet. Pero según las estimaciones de los registros de los dominios usados para la propagación de Stealers, el año más longevo identificado fue en 2019. Es decir, que este modus operandi lleva al menos 3 años en funcionamiento.

Los dominios seleccionados para realizar esta investigación, comparten muchos puntos en común. En especial del como quieren desplegar los malwares. Dejando un sitio de aterrizaje con el nombre de dicho Crack o Instalador, los cuales pasarán a la víctima en descargar un archivo en MediaFire, una plataforma de subida y descarga de archivos (Muy popular entre los usuarios de Internet), donde se carga un archivo comprimido, protegido con una contraseña (Los archivos comprimidos con contraseña son muy usados por diferentes actores de amenazas para que ningún antivirus o EDR lo pueda detectar), y cuya contraseña para descomprimir el Payload, se encuentra en el mismo archivo, sitio de aterrizaje final o incluso, el mismo archivo comprimido.

1. Posicionamiento en los motores de búsqueda

Para iniciar, debemos de tener en cuenta que muchos usuarios que buscan algún crack para un software en especifico, siempre existirá dos alternativas diferentes para llegar al mismo punto. El primero, es simplemente buscar un vídeo tutorial en YouTube. Donde el mismo creador del vídeo, facilitará los enlaces de descarga, y en muchos casos, con acortadores de links patrocinados como Adfly. Donde la posibilidad de descargar un malware mediante los anuncios, son bastante altos. Ya que este tipo de sitios, permiten todo tipo de publicidad, a cambio de unos cobros que benefician al servicio.

La segunda opción y una de las más utilizadas, es simplemente buscar en Google, con el nombre del programa, más las palabras «crack», «keygen», «activador» y «full». En esta investigación, nos centraremos exclusivamente con los resultados que Google nos ofrece. La cantidad de sitios que existen con respecto al «negocio» de la difusión de cracks es enorme en la red. Solamente con la búsqueda de «Crack Download», ya nos encontramos con 466.000.000 resultados de búsqueda, pero solo nos centraremos en los primeros resultados de la primera página de Google.

Búsqueda con las palabras claves «crack download» en Google.
Imagen: CronUp Ciberseguridad

2. Sitios SCAMS

Los sitios SCAMS, son todos aquellas páginas que intentan parecer como un sitio «legitimo». En el caso de los sitios de cracks, la situación de aplica de igual medida. Ya desde 2010, existen diferentes plataformas, blogs y foros, especializados en distribuir cracks de todo tipo. Que hasta cierto punto, cumplen con su misión, pero digamos que los actores de amenazas han visto en este «mercado» una oportunidad para poder implementar sus Stealers (nombre genérico de diferentes programas maliciosos del tipo troyano), sin la necesidad de realizar grandes campañas de phishing.

Por lo general, este tipo de sitios están construidos con WordPress y con plantillas muy básicas. Lo que sí no hay desperdicio en observar, es que todos intentan obtener un supuesto «cracks» de muchos softwares que son utilizados por un usuario final, y en especial en el sector corporativo. Desde la suite de Diseño Adobe CC, hasta Microsoft Office. Además de otros programas de la «vieja escuela».

Captura de dos páginas webs que están dentro de la investigación
Imagen: CronUp Ciberseguridad

3. Publicaciones de Relleno

Una excelente forma de disimular las intensiones de una página web, es mediante el uso del texto en cada publicación. Los desarrolladores de estas páginas webs de «cracks» lo entienden perfectamente. Y es por ello que en cada publicación que se presenta, la información que aparece es simplemente relleno. Eso se hace para dar una especie de confianza no directa a la posible victima, dando una imagen que el sitio sabe de lo que están exponiendo ante el mundo. Mostrando características y otras cosas más. Muchos de los textos presentados son copiados de otros sitios webs. Pero cumplen con su objetivo, no dejar el post vacío o con poca información sobre el programa.

Publicación sobre que es Adobe Fireworks CS6
Imagen: CronUp Ciberseguridad

4. «¡Descárgalo YA!«

Al final de cada publicación de estos sitios webs, aparecerá la opción para descargar el «crack» que se necesita para determinado software. Generalmente siempre se representará con un botón que diga «Download». Aunque, también este botón de «Download» estará presente al principio de cada publicación, siendo esta su primera trampa hacia los usuarios no cautelosos y/o impacientes de obtener dicho «crack».

Botones para la Descarga al principio de cada publicación.
Imagen: CronUp Ciberseguridad
Botones para la Descarga al final de cada publicación.
Imagen: CronUp Ciberseguridad

NOTA: Muchos de estos sitios de manera discreta, si te ofrecen el poder descargar el instalador con su crack correspondiente. Pero se realiza para evitar el levantamiento de sospechas por parte de otros usuarios y dejar que pasen de largo del asunto. En los sitios webs tradiciones, siempre han aparecido publicidad que dice «DESCARGAR YA!», «DESCARGALO AHORA», etc. Pero, era visiblemente notorio. En esta oportunidad, todos los sitios analizados siguen el mismo modus operandi.

Publicidad engañosa: Así se suele timar a la gente | Emezeta.COM
Anuncios fraudulentos en sitios webs.
Imagen: Emezeta.com

5. La web de Aterrizaje para la descarga del Payload

Sí la víctima sigue con el proceso, se encontrará con una página de aterrizaje, donde en este mismo se encontrará el nombre del «archivo» a descargar, un enlace a MediaFire, un botón de «copiar», la contraseña para descifrar el archivo comprimido y un gif, dando el paso a paso del cómo se debe «instalar» dicho ejecutable.

Página de Aterrizaje con instrucciones de como descargar el Crack o Instalador
Imagen: CronUp Ciberseguridad

Dato Curioso: Es posible cambiar el titulo del «crack» siguiendo el enlace. Pero, no cambiará el nombre del archivo en MediaFire. Esto se realiza para que el usuario no sospeche y confié que en verdad estará descargando el Crack o el Instalador.

Sitio de aterrizaje al Payload inicial.
Imagen: CronUp Ciberseguridad
Titulo modificado del sitio de aterrizaje desde la URL.
Imagen: CronUp Ciberseguridad

6. El contenido de los archivos comprimidos

El contenido de los archivos comprimidos es nada del otro mundo. Por lo general, consiste en un ejecutable .exe, con un simple bloc de notas. Donde el nombre de este mismo tendrá la contraseña para descifrar el archivo comprimido.

Los actores de amenazas cifrar estos archivos para evitar su detección por parte de los agentes de seguridad tradicionales (en especial los antivirus de uso cotidiano).

Contenido de los archivos Comprimidos de una de las Webs investigadas.
Imagen: CronUp Ciberseguridad

7. ¿Qué nos dicen los SandBox?

8. PoC – Descargando un «Crack» de Adobe Photoshop CC 2022

Para validar que algunos cracks que se pueden encontrar fácilmente en Internet, son de hecho, en verdad maliciosos, realizamos una prueba de concepto. Descargamos e intentamos ejecutar dicho programa, al intentarlo, el EDR de Panda Security detecta que se esta intentando ejecutar un proceso sospechoso en el equipo y mata el proceso a modo de precaución.

9. Diagrama de Flujos y de Infección

Durante la investigación, se ha llegado a detectar que el modus operandi de los actores de amenazas es muy similar con respecto a las 12 páginas webs que hemos estado investigando durante estas dos semanas. Los dominios SCAM y los dominios de los sitios de aterrizaje, son de hecho, muy diferentes entre sí. Ya que algunos solo apuntan a una dirección IP, otros con un rango muy amplio de dominios, otros que son integrados con AWS (Amazon Web Services) y uno que otro detalle superficial. Pero llegando a las opciones de descarga, similitud en el diseño de los sitios de aterrizaje, similitud con las contraseñas numéricas y las cargas presentadas. Podemos sospechar que podrían pertenecer a una banda en especifico, o sub bandas que trabajan con el mismo modus operandi.

Esto se puede reflejar en el diseño de los sitios de aterrizaje, portal de descarga, que en este caso todos apuntan a MediaFire, y que las amenazas que suele descargar una vez que el equipo sea completamente comprometido, será un Stealer. Pasando por Raccoon, RedLine, entre otros. Con algunas diferencias en los servidores C2.

A continuación, el diagrama de flujos de la primera semana de investigación.

Diagrama del Modus Operandi – Semana 1
Imagen: CronUp Ciberseguridad

En el siguiente diagrama, se muestra el mismo modus operandi de los actores de amenazas. Pero con un ligero cambio en los sitios de aterrizaje, los dominios y el nombre del aplicativo inicial, que es descargado desde MediaFire.

Diagrama del Modus Operandi – Semana 2
Imagen: CronUp Ciberseguridad

Conclusiones

Tras las dos semanas de observación a los sitios webs seleccionados para esta investigación, se llega a los siguientes puntos:

  • Los actores de amenazas usan el SEO para posicionarse en los principales motores de búsqueda.
  • Los sitios webs suelen ser muy simples y clónicos. Muchos de ellos en WordPress.
  • Por lo general, intentarán abarcar los softwares más populares para usarlos como enganche.
  • Las publicaciones siempre tendrán información de relleno.
  • Todas las publicaciones de un sitio web re-direccionan al mismo sitio, pero con diferentes dominios y el archivo a descargar es el mismo.
  • La plataforma de descarga usada es MediaFire.
  • Algunos sitios te ofrecen el «crack», pero no de manera tan llamativa como los botones de «Download now».
  • Los sitios de aterrizaje son idénticos en diseño e instrucciones. Solo varían las contraseñas de descifrado del archivo comprimido y el link en cada sitio, ilustrado en el diagrama anterior.
  • Es posible cambiar el titulo de la web de aterrizaje desde la URL.
  • Lo que traen los archivos comprimidos son el mismo ejecutable malicioso y un bloc de notas con la contraseña para descomprimirlo.
  • Las muestras obtenidas en esta investigación son positivos a Stealers.
  • La infraestructura de los actores de amenazas va cambiando al paso de tiempo.

Indicadores de Compromisos (IOCs)

C2:
46[.]30[.]42[.]20
5[.]230[.]71[.]176
85[.]159[.]212[.]113
185[.]163[.]204[.]81
194[.]180[.]191[.]33
174[.]138[.]11[.]98
194[.]180[.]191[.]44

Dominios C2:
brionw33[.]top
brivpy310[.]top
briybc32[.]top
hogzfs13[.]top
hogtay14[.]top
hogfxa18[.]top
hogfnv15[.]top
ridhen78[.]top
ridhwn75[.]top
ridgje73[.]top
ridfeb65[.]top
ridvca64[.]top
ridcju63[.]top
ridvun68[.]top
ridnqu53[.]top

Sitios con redirección a MediaFire:
134[.]122[.]122[.]217
143[.]198[.]164[.]102
http://tedinin[.]xyz/
http://teradop[.]xyz/
http://oughouteu[.]xyz/
https://estwardthr[.]xyz/
https://diawhenc[.]xyz/
https://calgaveusth[.]xyz/
https://bonesapefirstme[.]xyz/
https://utitwasno[.]xyz/
https://eitspreadw[.]xyz/
https://racesandla[.]xyz/
https://qwfrtr67we[.]xyz/
https://5setupfree[.]xyz/

Indicadores de Compromisos (IOCs) en GitHub.

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required