Cryptbot Stealer

En ny angrebskampagne, der implementerer en tyverisk malware ved navn Cryptbot Stealer, er blevet identificeret af cybersikkerhedsforskere. Detaljer om den truende operation blev offentliggjort i en blog af Red Canary. Ifølge dens resultater var Cryptbot Stealer rettet mod brugere, der ønskede at få ulovlige crackede softwareprodukter eller dem, der havde til formål at omgå copyright-licenserne for legitime produkter.

Mere specifikt bemærkede forskerne, at Cryptbot-truslen brugte falske KMSPico-installatører til at infiltrere ofrenes computere. Efter at have væretimplementeret med succes, kan Cryptbot begynde at høste carious følsomme oplysninger fra kompromitterede enheder. Det kan indsamle data fra adskillige webbrowsere - Opera, Chrome, Firefox, Vivaldi, CCleaner webbrowsere og Brave. Samtidig kan angriberne også få ofrets data gemt i adskillige crypto-valuta wallet-applikationer, såsom Atomic, Ledger Live, Coinomi, Electrum, Monero og mange flere.

Beslutningen om at bruge falske KMSPico-installatører er ret genial. KMSPico-værktøjet er et af de mest populære programmer, som folk bruger til at aktivere de betalte funktioner i de fleste Microsoft-produkter, såsom Windows og Office. Applikationen giver brugerne mulighed for at forfalske den legitime licens, der er nødvendig for at låse op for de fulde versioner af de valgte produkter uden at skulle betale for dem. Som navnet antyder, udnytter værktøjet de legitime Windows Key Management Services (KMS), som normalt ville blive brugt af virksomheder til at installere en legitim KMS-server og derefter bruge GPO (Group Policy Objects) til de klientsystemer, der ville kommunikere med serveren.

Cryptbot Stealer-kampagnen er endnu et klart bevis på, at folk, der ønsker at få crackede softwareprodukter, står over for en øget risiko for at blive ramt af en malware-infektion.