Cryptbot Stealer

En ny angrepskampanje som distribuerer en tyverisk skadelig programvare kalt Cryptbot Stealer har blitt identifisert av cybersikkerhetsforskere. Detaljer om den truende operasjonen ble offentliggjort i en blogg av Red Canary. I følge funnene var Cryptbot Stealer rettet mot brukere som ønsket å skaffe ulovlige cracked programvareprodukter eller de som hadde som mål å omgå opphavsrettslisensene til legitime produkter.

Mer spesifikt la forskerne merke til at Cryptbot-trusselen brukte falske KMSPico-installatører for å infiltrere datamaskinene til ofrene. Etter å væreimplementert vellykket, kan Cryptbot begynne å høste karious sensitiv informasjon fra kompromitterte enheter. Den kan samle inn data fra en rekke nettlesere - Opera, Chrome, Firefox, Vivaldi, CCleaner nettlesere og Brave. Samtidig kan angriperne også få tak i offerets data lagret i en rekke kryptovaluta lommebokapplikasjoner, som Atomic, Ledger Live, Coinomi, Electrum, Monero og mange flere.

Beslutningen om å bruke falske KMSPico-installatører er ganske genial. KMSPico-verktøyet er et av de mest populære programmene som folk bruker for å aktivere de betalte funksjonene til de fleste Microsoft-produkter, som Windows og Office. Applikasjonen lar brukere forfalske den legitime lisensen som trengs for å låse opp fullversjonene av de valgte produktene uten å måtte betale for dem. Som navnet antyder, utnytter verktøyet de legitime Windows Key Management Services (KMS) som normalt vil bli brukt av bedrifter til å installere en legitim KMS-server og deretter bruke GPO (Group Policy Objects) for klientsystemene som vil kommunisere med serveren.

Cryptbot Stealer-kampanjen er et annet tydelig bevis på at folk som ønsker å skaffe sprukne programvareprodukter, står overfor økte risikoer for å lide av skadelig programvare.