Εγκληματίες του κυβερνοχώρου διανέμουν τροποποιημένα KMSpico installers για να μολύνουν συσκευές Windows με κακόβουλο λογισμικό που κλέβει crypto wallets.
Την κακόβουλη δραστηριότητα εντόπισαν ερευνητές της Red Canary, οι οποίοι προειδοποιούν ότι τα πειρατικά λογισμικά μπορούν να θέσουν σε μεγάλο κίνδυνο τους χρήστες.
Δείτε επίσης: Καμπάνια Discord malware στοχεύει κοινότητες crypto και NFT
Το KMSPico είναι ένα δημοφιλές Microsoft Windows και Office product activator που προσομοιώνει ένα Windows Key Management Services (KMS) server για την ενεργοποίηση αδειών παράνομα.
Σύμφωνα με την Red Canary, πολλά IT τμήματα χρησιμοποιούν το KMSPico αντί για νόμιμα Microsoft software licenses.
Μολυσμένα product activators
Το KMSPico διανέμεται συνήθως μέσω πειρατικού λογισμικού και crack sites που βάζουν το εργαλείο σε installers που περιέχουν adware και κακόβουλο λογισμικό.
Σύμφωνα με τους ερευνητές, υπάρχουν πολλά sites που δημιουργήθηκαν για τη διανομή του KMSPico, και όλα ισχυρίζονται ότι είναι ο επίσημος ιστότοπος.
Ένα κακόβουλο KMSPico installer που αναλύθηκε από τη Red Canary έρχεται σε ένα self-extracting executable, όπως 7-Zip, και περιέχει έναν πραγματικό KMS server emulator και το Cryptbot.
“Ο χρήστης μολύνεται κάνοντας κλικ σε έναν από τους κακόβουλους συνδέσμους και πραγματοποιεί λήψη του KMSPico και του Cryptbot ή άλλου κακόβουλου λογισμικού χωρίς το KMSPico“, εξηγούν οι ειδικοί.
Δείτε επίσης: Bitmart hacked: Hackers έκλεψαν $196 εκατομμύρια από την πλατφόρμα
“Οι επιτιθέμενοι εγκαθιστούν το KMSPico, επειδή το θύμα αυτό περιμένει, ενώ ταυτόχρονα αναπτύσσουν κρυφά το Cryptbot“.
Το κακόβουλο λογισμικό είναι κρυμμένο από το CypherIT packer που αποτρέπει τον εντοπισμό του από το λογισμικό ασφαλείας. Στη συνέχεια, αυτό το installer χρησιμοποιεί ένα script, το οποίο είναι ικανό να ανιχνεύει sandboxes και AV emulation, ώστε να μην εκτελεστεί σε συσκευές ερευνητών.
Δείτε επίσης: Hackers εκμεταλλεύονται ένα νέο Zoho ServiceDesk exploit
Επιπλέον, το Cryptbot ελέγχει για την παρουσία του “%APPDATA%\Ramson” και εκτελεί τη ρουτίνα αυτο-διαγραφής, εάν ο φάκελος υπάρχει.
Συνοπτικά, το Cryptbot είναι σε θέση να συλλέγει ευαίσθητα δεδομένα από τις ακόλουθες εφαρμογές:
- Atomic cryptocurrency wallet
- Avast Secure web browser
- Brave browser
- Ledger Live cryptocurrency wallet
- Opera Web Browser
- Waves Client and Exchange cryptocurrency applications
- Coinomi cryptocurrency wallet
- Google Chrome web browser
- Jaxx Liberty cryptocurrency wallet
- Electron Cash cryptocurrency wallet
- Electrum cryptocurrency wallet
- Exodus cryptocurrency wallet
- Monero cryptocurrency wallet
- MultiBitHD cryptocurrency wallet
- Mozilla Firefox web browser
- CCleaner web browser
- Vivaldi web browser
Τα παραπάνω δείχνουν ότι η επιλογή ενός πειρατικού λογισμικού, όπως το KSMPico, για την εξοικονόμηση χρημάτων δεν είναι καλή ιδέα, δεδομένου ότι υπάρχουν πολλοί κίνδυνοι, όπως σε αυτή την περίπτωση με την crypto wallets.
Η απώλεια εσόδων λόγω επιθέσεων ransomware και κλοπής cryptocurrencies που μπορούν να προκληθούν από την εγκατάσταση πειρατικού λογισμικού, θα είναι σίγουρα μεγαλύτερη από το κόστος των αδειών των Windows και του Office.
Πηγή: Bleeping Computer