Крадец на Cryptbot

Нова кампания за атака, внедряваща злонамерен софтуер за крадец на име Cryptbot Stealer, беше идентифицирана от изследователи по киберсигурност. Подробности за заплашващата операция бяха публикувани в блог от Red Canary. Според неговите констатации, Cryptbot Stealer е насочен към потребители, които искат да получат незаконни кракнати софтуерни продукти или такива, които целят да заобиколят лицензите за авторско право на законни продукти.

По-конкретно, изследователите забелязаха, че заплахата Cryptbot използва фалшиви инсталатори на KMSPico, за да проникне в компютрите на своите жертви. След като е билразгърнат успешно, Cryptbot може да започне събирането на кариозна чувствителна информация от компрометирани устройства. Може да събира данни от множество уеб браузъри - Opera, Chrome, Firefox, Vivaldi, CCleaner уеб браузъри и Brave. В същото време нападателите могат да получат и данните на жертвата, запазени в множество приложения за портфейли за криптовалути, като Atomic, Ledger Live, Coinomi, Electrum, Monero и много други.

Решението да се използват фалшиви инсталатори на KMSPico е доста гениално. Инструментът KMSPico е една от най-популярните програми, които хората използват за активиране на платените функции на повечето продукти на Microsoft, като Windows и Office. Приложението позволява на потребителите да подправят законния лиценз, необходим за отключване на пълните версии на избраните продукти, без да се налага да плащат за тях. Както подсказва името му, инструментът използва легитимните услуги за управление на ключове на Windows (KMS), които обикновено се използват от предприятията за инсталиране на легитимен KMS сървър и след това да използва GPO (обекти на групови политики) за клиентските системи, които ще комуникират със сървъра.

Кампанията Cryptbot Stealer е още едно ясно доказателство, че хората, които искат да получат кракнат софтуерни продукти, са изправени пред повишен риск от заразяване със зловреден софтуер.