Praktykujący piraci oprogramowania wpadli w sidła zaatakowanego przez malware narzędzia, które zbiera poufne informacje z portfeli kryptowalutowych.
Piraci oprogramowania chcący zdobyć darmową kopię systemu Microsoft Windows wpadają w sidła naszpikowanych złośliwym oprogramowaniem „narzędzi aktywacyjnych”, które opróżniają ich portfele kryptowalutowe.
Według firmy badawczej Red Canary (za pośrednictwem PC World), infekcje systemów dobrze znanym złośliwym oprogramowaniem Cryptbot zostały prześledzone wstecz do fałszywego instalatora KMSPico – narzędzia używanego przez piratów oprogramowania do aktywacji pełnych funkcji produktów Microsoft Windows i Office bez posiadania klucza licencyjnego.
Ponieważ narzędzia zabezpieczające zazwyczaj blokują KMSPico jako potencjalnie niechciany program (PUP), oprogramowanie to zawiera instrukcje wyłączania oprogramowania antywirusowego i antywirusowego – pozwalając Cryptobotowi szaleć w systemie.
Nowa analiza złośliwego oprogramowania od @ForensicITGuy: RCIntel przeanalizował ostatnio próbkę Cryptbota i namierzył go w fałszywym instalatorze KMSPico. Oto, na co należy zwrócić uwagę. https://t.co/Msj1M4cKOP
– Red Canary (@redcanary) December 2, 2021
Po wprowadzeniu do systemu, Cryptbot przeszukuje go w poszukiwaniu danych uwierzytelniających i innych wrażliwych informacji, w tym portfeli kryptowalutowych. Lista portfeli zagrożonych przez Cryptbota jest obszerna i obejmuje takie portfele jak Electrum, Monero, Exodus i Ledger Live, a także inne aplikacje, takie jak przeglądarki internetowe (w tym Google Chrome, Mozilla Firefox, Brave i Opera).
Ponieważ instalator KMSPico wykorzystuje Windows Key Management Services (KMS) – legalną technologię używaną do masowego licencjonowania w sieciach korporacyjnych – niektóre działy IT, które rzeczywiście posiadały legalne licencje, podobno użyły nielegalnego narzędzia do aktywacji swoich systemów, nieumyślnie uszkadzając je za pomocą Cryptbota.
Malware celuje w crypto
Zważywszy na lukratywne potencjalne nagrody związane z kryptowalutami, złośliwe oprogramowanie było odwiecznym cierniem w boku użytkowników kryptowalut. Schematy obejmowały od złośliwego oprogramowania do wydobywania kryptowalut, które obciąża zasoby systemowe, po oszukańcze aplikacje kryptowalutowe zaprojektowane w celu kradzieży kluczy prywatnych użytkowników
CryptBot to cryptocurrency portfel, ciasteczka i dane płatnicze, które potrafią robić zdjęcia z zaatakowanych urządzeń. W ostatnim ataku użyto Malware w przebraniu KMSPico, co było ułatwione dzięki wykorzystaniu skompromitowanego software CyberSecurity infosec CTF BugBounty CVE
– Cyber Security Tricks (@Mawg0ud) 7 grudnia 2021
W jednym z ostatnich przypadków, mężczyzna pozwał rodziców dwóch nastolatków, którzy jego zdaniem użyli złośliwego oprogramowania do kradzieży Bitcoinów o wartości 800 000 dolarów.
W przypadku zainfekowanego instalatora KMSPico, korzystanie ze skrótów i próby uzyskania dostępu do oprogramowania bez wydawania pieniędzy na licencję mogą okazać się niezwykle kosztowne dla użytkowników kryptowalut.
