Would-be software pirates have ran afoul of a malware-contamined tool that harvests sensitive information from crypto wallets.
Softwarepiraten die een gratis exemplaar van Microsoft Windows willen scoren, krijgen te maken met malwaregerelateerde “activeringstools” die hun cryptoportefeuilles leegmaken.
Volgens beveiligingsonderzoeksbureau Red Canary (via PC World) zijn infecties van systemen met de bekende Cryptbot-malware terug te voeren op een vals KMSPico-installatieprogramma-een programma dat door softwarepiraten wordt gebruikt om alle functies van Microsoft Windows- en Office-producten te activeren zonder in het bezit te zijn van een licentiesleutel.
Omdat beveiligingsprogramma’s KMSPico gewoonlijk blokkeren als een Potentially Unwanted Program (PUP), wordt de software geleverd met instructies om antivirus- en antimalwaresoftware uit te schakelen, waardoor Cryptobot ongestoord op het systeem kan draaien.
Nieuwe malware analyse van @ForensicITGuy: RCIntel analyseerde onlangs een voorbeeld van Cryptbot en herleidde het terug naar een vals KMSPico installatieprogramma. Hier is waar je op moet letten. https://t.co/Msj1M4cKOP
– Red Canary (@redcanary) December 2, 2021
Als Cryptbot eenmaal op een systeem is, zoekt het naar gegevens en andere gevoelige informatie, waaronder portemonnees voor cryptocurrency. De lijst van wallets die risico lopen door Cryptbot is uitgebreid en omvat onder andere Electrum, Monero, Exodus en Ledger Live, maar ook andere applicaties zoals webbrowsers (waaronder Google Chrome, Mozilla Firefox, Brave en Opera).
Aangezien het KMSPico-installatieprogramma gebruik maakt van Windows Key Management Services (KMS) – een legitieme technologie die wordt gebruikt voor bulklicenties voor bedrijfsnetwerken – hebben sommige IT-afdelingen die legitieme licenties hadden, naar verluidt de illegale tool gebruikt om hun systemen te activeren, waardoor hun systemen onbedoeld werden beschadigd met Cryptbot.
Malware richt zich op crypto
Gezien de lucratieve potentiële beloningen die cryptocurrency met zich meebrengt, is malware een doorn in het oog van cryptogebruikers. Er zijn verschillende soorten malware, variërend van cryptomijnende malware die systeembronnen blokkeert tot frauduleuze crypto-apps die zijn ontworpen om de privésleutels van gebruikers te stelen.
CryptBot is een cryptocurrency wallet, cookies & payment data grabber die in staat is om beelden van getroffen apparaten te nemen. Malware vermomd als KMSPico werd gebruikt in de recente aanval, die werd vergemakkelijkt door het gebruik van gecompromitteerde software CyberSecurity infosec CTF BugBounty CVE
– Cybersecurity Tricks (@Mawg0ud) December 7, 2021
In het geval van het geïnfecteerde KMSPico-installatieprogramma kan het nemen van snelkoppelingen en het proberen toegang te krijgen tot software zonder een licentie te betalen, cryptogebruikers duur komen te staan.
