Потенциальные пираты программного обеспечения столкнулись с вредоносным инструментом, который собирает конфиденциальную информацию из криптовалютных кошельков.
Программные пираты, желающие получить бесплатную копию Microsoft Windows, сталкиваются с зараженными вредоносным ПО «активационными инструментами», которые опустошают их криптокошельки.
По данным компании Red Canary, занимающейся исследованиями в области безопасности (через PC World), заражение систем известной вредоносной программой Cryptbot было отслежено на примере поддельной программы установки KMSPico — инструмента, используемого пиратами программного обеспечения для активации всех функций продуктов Microsoft Windows и Office без наличия лицензионного ключа.
Поскольку средства безопасности обычно блокируют KMSPico как потенциально нежелательную программу (PUP), в комплект поставки входят инструкции по отключению антивирусного и антивирусного ПО, что позволяет Cryptobot бесчинствовать в системе.
Новый анализ вредоносного ПО от @ForensicITGuy: RCIntel недавно проанализировал образец Cryptbot и отследил его до поддельного установщика KMSPico. Вот на что следует обратить внимание. https://t.co/Msj1M4cKOP
— Red Canary (@redcanary) December 2, 2021
Попав в систему, Cryptbot проверяет ее на наличие учетных данных и другой конфиденциальной информации, включая криптовалютные кошельки. Список кошельков, подверженных риску со стороны Cryptbot, обширен и включает такие кошельки, как Electrum, Monero, Exodus и Ledger Live, а также другие приложения, такие как веб-браузеры (включая Google Chrome, Mozilla Firefox, Brave и Opera).
Поскольку программа установки KMSPico использует службы управления ключами Windows (KMS) — законную технологию, используемую для массового лицензирования в корпоративных сетях — некоторые ИТ-отделы, у которых действительно были законные лицензии, по сообщениям, использовали незаконный инструмент для активации своих систем, непреднамеренно повреждая свои системы Cryptbot.
Вредоносное ПО нацелено на криптовалюты
Учитывая прибыльные потенциальные вознаграждения, связанные с криптовалютой, вредоносное ПО является постоянным шипом на стороне пользователей криптовалют. Схемы варьируются от вредоносных программ для майнинга криптовалют, которые перегружают системные ресурсы, до мошеннических криптоприложений, предназначенных для кражи личных ключей пользователей.
CryptBot — это cryptocurrency кошелек, cookies & граббер платежных данных, способный делать снимки с пораженных устройств. Malware, замаскированное под KMSPico, использовалось в недавней атаке, которой способствовало использование скомпрометированного software CyberSecurity infosec CTF BugBounty CVE
— Cyber Security Tricks (@Mawg0ud) December 7, 2021
В одном из недавних дел мужчина подал в суд на родителей двух подростков, которые, как он утверждает, использовали вредоносное ПО для кражи биткоина на сумму 800 000 долларов.
В случае с зараженной программой установки KMSPico, использование коротких путей и попытка получить доступ к программному обеспечению без оплаты лицензии может в конечном итоге обойтись пользователям криптовалют очень дорого.
