Cryptbot Stealer

Uma nova campanha de ataque implantando um malware stealer chamado Cryptbot Stealer foi identificada pelos pesquisadores de segurança cibernética. Detalhes sobre a operação ameaçadora foram divulgados em um blog da Red Canary. De acordo com suas descobertas, o Cryptbot Stealer era direcionado a usuários que desejavam obter produtos de software crackeados ilegais ou que visavam burlar as licenças de direitos autorais de produtos legítimos.

Mais especificamente, os pesquisadores notaram que a ameaça Cryptbot usava instaladores KMSPico falsos para se infiltrar nos computadores de suas vítimas. Depois de ser implantado com sucesso, o Cryptbot pode começar a coletar informações confidenciais cariosas de dispositivos comprometidos. Ele pode coletar dados de vários navegadores da Web - Opera, Chrome, Firefox, Vivaldi, navegadores CCleaner e Brave. Ao mesmo tempo, os invasores também podem obter os dados da vítima salvos em vários aplicativos de carteira de cripto-moeda, tais como o Atomic, Ledger Live, Coinomi, Electrum, Monero e muitos mais.

A decisão de usar instaladores KMSPico falsos é bastante engenhosa. A ferramenta KMSPico é um dos programas mais populares que as pessoas usam para ativar os recursos pagos da maioria dos produtos Microsoft, como o Windows e o Office. O aplicativo permite que os usuários falsifiquem a licença legítima necessária para desbloquear as versões completas dos produtos escolhidos sem ter que pagar por eles. Como o próprio nome sugere, a ferramenta explora o Windows Key Management Services (KMS) legítimo que normalmente seria usado por empresas para instalar um servidor KMS legítimo e, em seguida, usar GPO (Objetos de Política de Grupo) para os sistemas cliente que se comunicariam com o servidor.

A campanha do Cryptbot Stealer é outra evidência clara de que as pessoas que desejam obter produtos de software crackeados enfrentam riscos maiores de sofrer uma infecção por malware.