Cryptbot Stealer

Badacze zajmujący się cyberbezpieczeństwem zidentyfikowali nową kampanię ataku wykorzystującą złośliwe oprogramowanie do kradzieży o nazwie Cryptbot Stealer. Szczegóły dotyczące groźby zostały opublikowane na blogu Red Canary. Zgodnie z jego ustaleniami, Cryptbot Stealer był wymierzony w użytkowników, którzy chcieli uzyskać nielegalne, złamane oprogramowanie lub takie, które miały na celu obejście praw autorskich do legalnych produktów.

Mówiąc dokładniej, badacze zauważyli, że zagrożenie Cryptbot wykorzystywało fałszywe instalatory KMSPico do infiltracji komputerów swoich ofiar. Po byciupomyślnie wdrożony, Cryptbot może rozpocząć zbieranie poufnych informacji z zainfekowanych urządzeń. Może zbierać dane z wielu przeglądarek internetowych - Opera, Chrome, Firefox, Vivaldi, przeglądarek internetowych CCleaner i Brave. Jednocześnie osoby atakujące mogą również uzyskać dane ofiary zapisane w wielu aplikacjach portfela kryptowalutowego, takich jak Atomic, Ledger Live, Coinomi, Electrum, Monero i wielu innych.

Decyzja o użyciu fałszywych instalatorów KMSPico jest dość pomysłowa. Narzędzie KMSPico to jeden z najpopularniejszych programów, których ludzie używają do aktywacji płatnych funkcji większości produktów Microsoft, takich jak Windows i Office. Aplikacja pozwala użytkownikom sfałszować legalną licencję potrzebną do odblokowania pełnych wersji wybranych produktów bez konieczności płacenia za nie. Jak sama nazwa wskazuje, narzędzie wykorzystuje legalne usługi zarządzania kluczami systemu Windows (KMS), które normalnie byłyby używane przez przedsiębiorstwa do instalowania prawidłowego serwera KMS, a następnie używania obiektów GPO (Group Policy Objects) dla systemów klienckich, które komunikowałyby się z serwerem.

Kampania Cryptbot Stealer jest kolejnym wyraźnym dowodem na to, że osoby, które chcą uzyskać oprogramowanie, które ma krakowane oprogramowanie, są narażone na zwiększone ryzyko infekcji złośliwym oprogramowaniem.