Cryptbot Stealer

Kyberturvallisuustutkijat ovat tunnistaneet uuden hyökkäyskampanjan, joka käyttää Cryptbot Stealer -nimistä haittaohjelmaa. Yksityiskohdat uhkailuoperaatiosta julkaisi Red Canaryn blogissa. Sen havaintojen mukaan Cryptbot Stealer oli suunnattu käyttäjille, jotka halusivat hankkia laittomia krakattuja ohjelmistotuotteita tai niille, jotka pyrkivät kiertämään laillisten tuotteiden tekijänoikeuslisenssejä.

Tarkemmin sanottuna tutkijat huomasivat, että Cryptbot-uhka käytti väärennettyjä KMSPico-asentajia soluttautumaan uhriensa tietokoneisiin. Oltuaanonnistuneesti otettuna käyttöön Cryptbot voi alkaa kerätä kariesia arkaluonteisia tietoja vaarantuneista laitteista. Se voi kerätä tietoja useista verkkoselaimista - Opera, Chrome, Firefox, Vivaldi, CCleaner-selaimia ja Brave. Samaan aikaan hyökkääjät voivat myös hankkia uhrin tiedot, jotka on tallennettu lukuisiin kryptovaluuttalompakkosovelluksia, kuten Atomic, Ledger Live, Coinomi, Electrum, Monero ja monet muut.

Päätös käyttää väärennettyjä KMSPico-asentajia on varsin nerokas. KMSPico-työkalu on yksi suosituimmista ohjelmista, joita ihmiset käyttävät useimpien Microsoft-tuotteiden, kuten Windowsin ja Officen, maksullisten ominaisuuksien aktivoimiseen. Sovelluksen avulla käyttäjät voivat huijata laillista lisenssiä, jota tarvitaan valittujen tuotteiden täysversioiden lukituksen avaamiseen ilman, että heidän tarvitsee maksaa niistä. Kuten nimestä voi päätellä, työkalu hyödyntää laillisia Windows Key Management Services (KMS) -palveluita, joita yritykset tavallisesti käyttäisivät laillisen KMS-palvelimen asentamiseen ja sitten GPO:n (Group Policy Objects) käyttö asiakasjärjestelmille, jotka kommunikoivat palvelimen kanssa.

Cryptbot Stealer -kampanja on toinen selvä todiste siitä, että ihmiset, jotka haluavat hankkia krakattuja ohjelmistotuotteita, kohtaavat lisääntyneen riskin kärsiä haittaohjelmatartunnasta.