Budoucí softwaroví piráti se setkali s malwarem, který získává citlivé informace z kryptopeněženek.
Softwaroví piráti, kteří chtějí získat bezplatnou kopii systému Microsoft Windows, narážejí na „aktivační nástroje“ napadené malwarem, které vyprazdňují jejich kryptografické peněženky.
Podle společnosti Red Canary, která se zabývá bezpečnostním výzkumem (prostřednictvím serveru PC World), bylo nakažení systémů známým malwarem Cryptbot vystopováno díky falešnému instalačnímu programu KMSPico – nástroji, který softwaroví piráti používají k aktivaci všech funkcí produktů Microsoft Windows a Office, aniž by vlastnili licenční klíč.
Protože bezpečnostní nástroje obvykle blokují KMSPico jako potenciálně nežádoucí program (PUP), software je dodáván s pokyny k deaktivaci antivirového a antimalwarového softwaru – což umožňuje Cryptobotu řádit v systému.
Nová analýza malwaru od @ForensicITGuy: RCIntel nedávno analyzoval vzorek Cryptbotu a vystopoval ho až k falešnému instalátoru KMSPico. Zde je návod, na co si dát pozor. https://t.co/Msj1M4cKOP
– Red Canary (@redcanary) December 2, 2021
Když je Cryptbot zaveden do systému, prohledává jej a hledá přihlašovací údaje a další citlivé informace, včetně peněženek s kryptoměnami. Seznam peněženek, které Cryptbot ohrožuje, je rozsáhlý a zahrnuje například Electrum, Monero, Exodus a Ledger Live, stejně jako další aplikace, jako jsou webové prohlížeče (včetně Google Chrome, Mozilla Firefox, Brave a Opera).
Vzhledem k tomu, že instalační program KMSPico využívá službu Windows Key Management Services (KMS) – legitimní technologii používanou pro hromadné licencování v podnikových sítích – některá oddělení IT, která skutečně měla legitimní licence, údajně použila tento nelegální nástroj k aktivaci svých systémů, čímž neúmyslně poškodila své systémy pomocí nástroje Cryptbot.
Malware se zaměřuje na šifrovací program
Vzhledem k lukrativním potenciálním odměnám spojeným s kryptoměnami je malware věčným trnem v oku uživatelům kryptoměn. Schémata sahají od malwaru pro těžbu kryptoměn, který svazuje systémové prostředky, až po podvodné kryptografické aplikace určené k podvržení soukromých klíčů uživatelů.
CryptBot je cryptocurrency peněženka, cookies & platební data grabber schopný pořizovat snímky z postižených zařízení. Při nedávném útoku byl použit Malware maskovaný jako KMSPico, což bylo umožněno použitím kompromitovaného software CyberSecurity infosec CTF BugBounty CVE
– Cyber Security Tricks (@Mawg0ud) December 7, 2021
V jednom z nedávných případů zažaloval muž rodiče dvou teenagerů, kteří podle něj pomocí malwaru ukradli bitcoiny v hodnotě 800 000 dolarů.
V případě infikovaného instalačního programu KMSPico by se používání zkratek a snaha získat přístup k softwaru bez nutnosti zaplatit za licenci mohly uživatelům kryptoměn nakonec velmi prodražit.
