Cryptbot Stealer

I ricercatori della sicurezza informatica hanno identificato una nuova campagna di attacco che implementa un malware stealer chiamato Cryptbot Stealer. I dettagli sull'operazione minacciosa sono stati rilasciati in un blog da Red Canary. Secondo i suoi risultati, il Cryptbot Stealer era mirato agli utenti che desideravano ottenere prodotti software crackati illegali o quelli che miravano a eludere le licenze di copyright di prodotti legittimi.

Più specificamente, i ricercatori hanno notato che la minaccia Cryptbot utilizzava falsi installer KMSPico per infiltrarsi nei computer delle sue vittime. Dopo esseredistribuito con successo, Cryptbot può iniziare a raccogliere numerose informazioni sensibili dai dispositivi compromessi. Può raccogliere dati da numerosi browser Web: Opera, Chrome, Firefox, Vivaldi, browser Web CCleaner e Brave. Allo stesso tempo, gli aggressori possono anche ottenere i dati della vittima salvati in numerose applicazioni di portafoglio di criptovalute, come Atomic, Ledger Live, Coinomi, Electrum, Monero e molti altri.

La decisione di utilizzare falsi programmi di installazione KMSPico è piuttosto geniale. Lo strumento KMSPico è uno dei programmi più popolari che le persone utilizzano per attivare le funzionalità a pagamento della maggior parte dei prodotti Microsoft, come Windows e Office. L'applicazione consente agli utenti di falsificare la licenza legittima necessaria per sbloccare le versioni complete dei prodotti scelti senza doverli pagare. Come suggerisce il nome, lo strumento sfrutta i legittimi Windows Key Management Services (KMS) che verrebbero normalmente utilizzati dalle aziende per installare un server KMS legittimo e quindi utilizzare GPO (Group Policy Objects) per i sistemi client che comunicherebbero con il server.

La campagna Cryptbot Stealer è un'altra chiara prova del fatto che le persone che desiderano ottenere prodotti software crackati affrontano maggiori rischi di subire un'infezione da malware.