软件破解补丁隐藏窃密木马，毒害全球数百万网民

腾讯电脑管家

一、背景

腾讯安全威胁情报中检测到大量用户感染CracxStealer窃密木马，追踪病毒来源发现源于境外某个软件破解补丁下载站（cracx[.]com）。该网站提供下载的平面设计、媒体编辑、Office、大型游戏、系统工具等商业软件破解补丁包内已植入窃密木马，木马运行后会窃取用户浏览器保存的帐号密码、数字加密币的钱包帐号以及其他机密信息，腾讯电脑管家及腾讯零信任安全管理系统iOA均可查杀该病毒。

根据CracxStealer窃密木马运营者的页面统计数据，该网站单个破解补丁下载次数超过8万次，而该网站提供的常用软件（包括许多大型商业软件）破解补丁有数百种之多，全球受害者可能数百万计。腾讯安全已对该恶意网站进行全站拦截：

CracxStealer窃密木马安装后会搜集各类浏览器的配置文件、数据库、Cookie中保存的账号密码，搜集门罗币、以太币等多种数字加密货币的客户端软件中保存的钱包账号信息，以及获取电脑IP定位、操作系统版本、硬件和软件信息，桌面截屏，然后将所有搜集的敏感信息打包发送至黑客控制的服务器。因病毒的传播网站为cracx[.]com，腾讯安全威胁情报中心将其命名为“CracxStealer窃密木马”。

腾讯安全系列产品应对CracxStealer窃密木马的响应清单：

更多产品信息，请参考腾讯安全官方网站https://s.tencent.com/

二、样本分析

我们选择该站提供的一个大型商业软件破解补丁为例进行分析：

CorelDRAW Graphics Suite是一款主要用于设计图形图像的工具，在平面设计行业为设计师们服务的一款功能强大齐全的软件。其官方网站显示，付费使用版本每年费用为399美元，折合人民币约2600元/年。

网民一般会先从官网下载一个试用版安装，然后在网上搜索注册码或者下载破解工具进行激活。此次感染病毒的用户通过搜索引擎找到网站https[:]//cracx.com并下载了激活程序CorelDRAW-Graphics-Suite-2017-Crack---License-Key-{Latest}-1594192147.zip，下载页面显示该程序已有超过8万次的下载。

该病毒下载站还会在下载页面标明该破解补丁已通过avast、小红伞、卡巴斯基、迈克菲、诺顿等多家国外知名杀毒软件认证，套路和国内某些病毒下载站完全一致。点击“Download Setup + Crack”按钮后，会依次经过以下URL跳转，并最终通过https[:]//filedl7.ga下载文件。

下载得到压缩包CorelDRAW-Graphics-Suite-2017-Crack---License-Key-{Latest}-1594192147.zip Md5: 0083D7942C28E7A252DEA391607917A5，解压后包含以下文件。

使用(P@$$ izz) 44556677.txt中提示的密码44556677对setup_installer.zip进行解压，可以得到NSIS打包的安装包程序setup_installer.exe。

setup_installer.exe是病毒母体，首先通过插件UserInfo.dll获取当前进程用户账户，如果不是Admin，则利用UAC.dll提升到管理员权限。

窃密木马部分代码添加了VMP壳进行保护。

窃密木马从浏览器配置文件、数据库文件、Cookie中获取登陆账号密码，支持国内外多款浏览器包括Chrome、Comodo Dragon、Opera、Chromium、CocCoc、360_extreme_explorer 、torch、slimjet、cent_browser、brave 、vivaldi 、ccleaner_browser、avast_secure_browser、Firefox。

搜集门罗币、以太币等数字加密货币的相关客户端软件中保存的钱包信息。

查询本机IP、IP所属位置、运营商属性等信息保存至随机名txt文件，以及操作系统版本、语言环境、当地时间、用户名、CPU、内存、显卡、安装软件列表信息保存至system_info.txt。

拍摄屏幕截图并保存为screenshot.jpg。

将搜集到的所有信息打包为随机名zip压缩包文件，存放至ProgramData目录下。

最后将压缩包数据通过POST发送至远程服务器http[:]//mdpoter03.top/index.php

IOCs

Domain

mdpoter03.top

urep03.top

saytt03.top

URL

https[:]//cracx.com/coreldraw-graphics-suite-2017-full/

https[:]//keepn.site/i-3732/?q=CorelDRAW Graphics Suite 2017 Crack   License Key {Latest}

https[:]//filedl7.ga/jojo-7eaff951136ba916dedc5d52e1861ebd/

https[:]//filedl7.ga/jojo-4207bef9a1449f5c81eb755c5a9fe516/

https[:]//filedl7.ga/jojo-cbb1047df6161c7c17612f88badfe478/

https[:]//filenetwork.info/fs-8024e1c74c8f793b14f13714f1ccdab8/

https[:]//downtech.info/fs-537babb385850dc869fd9bda590d62d5/

http[:]//mdpoter03.top/index.php

http[:]//urep03.top/index.php

http[:]//saytt03.top/index.php

https[:]//iplogger.org/1yzUq7

md5

Any-Video-Converter-Ultimate-6.2.6-Patch-1594260775.zip

52f9748dcef89359bcef1d3e5f2bfd38

RescuePRO-Deluxe-6.0.2.2-Full-Crack-1594260534.zip

7ed9a320c44d119e3d596efa218deab8

ProShow-Producer-9.0.3797-License-Key---Patch-{2020}-Free-Download-1594193035.zip

b366c329bcf624214bdfc23d7bedcb78

CorelDRAW-Graphics-Suite-2017-Crack---License-Key-{Latest}-1594192147.zip

0083d7942c28e7a252dea391607917a5

Mouyase1

该病毒下载站还会在下载页面标明该破解补丁已通过avast、小红伞、卡巴斯基、迈克菲、诺顿等多家国外知名杀毒软件认证，套路和国内某些病毒下载站完全一致。
所以这个补丁是一个虚假的文件 完全不包含注册机或者破解的功能.