Zloděj kryptbotů

Výzkumníci v oblasti kybernetické bezpečnosti identifikovali novou útočnou kampaň nasazující zlodějský malware s názvem Cryptbot Stealer. Podrobnosti o hrozivé operaci zveřejnili na blogu Red Canary. Podle jeho zjištění byl Cryptbot Stealer zaměřen na uživatele, kteří si přáli získat nelegální cracknuté softwarové produkty nebo ty, jejichž cílem bylo obejít autorská práva legitimních produktů.

Přesněji řečeno, výzkumníci si všimli, že hrozba Cryptbot používala falešné instalační programy KMSPico k infiltraci počítačů svých obětí. Po bytípo úspěšném nasazení může Cryptbot začít sklízet citlivé citlivé informace z kompromitovaných zařízení. Dokáže sbírat data z mnoha webových prohlížečů – Opera, Chrome, Firefox, Vivaldi, webové prohlížeče CCleaner a Brave. Současně mohou útočníci také získat data oběti uložená v mnoha aplikacích kryptoměnových peněženek, jako jsou Atomic, Ledger Live, Coinomi, Electrum, Monero a mnoho dalších.

Rozhodnutí použít falešné instalační programy KMSPico je docela důmyslné. Nástroj KMSPico je jedním z nejoblíbenějších programů, které lidé používají k aktivaci placených funkcí většiny produktů společnosti Microsoft, jako jsou Windows a Office. Aplikace umožňuje uživatelům podvrhnout legitimní licenci potřebnou k odemknutí plných verzí vybraných produktů, aniž by za ně museli platit. Jak jeho název napovídá, tento nástroj využívá legitimní službu Windows Key Management Services (KMS), kterou by za normálních okolností používaly podniky k instalaci legitimního serveru KMS a následně k použití GPO (Group Policy Objects) pro klientské systémy, které by komunikovaly se serverem.

Kampaň Cryptbot Stealer je dalším jasným důkazem toho, že lidé, kteří chtějí získat cracknuté softwarové produkty, čelí zvýšenému riziku napadení malwarem.