Cryptbot Stealer

Исследователи в области кибербезопасности выявили новую кампанию по атаке, использующую вредоносное ПО-кражу под названием Cryptbot Stealer. Подробности об угрожающей операции были опубликованы в блоге Red Canary. Согласно его результатам, Cryptbot Stealer был нацелен на пользователей, которые хотели получить нелегальные взломанные программные продукты или тех, кто был нацелен на обход лицензий на авторские права на легальные продукты.

В частности, исследователи заметили, что угроза Cryptbot использовала поддельные установщики KMSPico для проникновения на компьютеры своих жертв. После того, какПосле успешного развертывания Cryptbot может начать сбор конфиденциальной информации с взломанных устройств. Он может собирать данные из множества веб-браузеров - Opera, Chrome, Firefox, Vivaldi, веб-браузеров CCleaner и Brave. В то же время злоумышленники также могут получить данные жертвы, сохраненные в многочисленных приложениях криптовалютного кошелька, таких как Atomic, Ledger Live, Coinomi, Electrum, Monero и многих других.

Решение использовать поддельные установщики KMSPico довольно гениальное. Инструмент KMSPico - одна из самых популярных программ, которые люди используют для активации платных функций большинства продуктов Microsoft, таких как Windows и Office. Приложение позволяет пользователям подделывать законную лицензию, необходимую для разблокировки полных версий выбранных продуктов, не платя за них. Как следует из названия, инструмент использует законные службы управления ключами Windows (KMS), которые обычно используются предприятиями для установки легитимного сервера KMS, а затем используют GPO (объекты групповой политики) для клиентских систем, которые будут взаимодействовать с сервером.

Кампания Cryptbot Stealer - еще одно наглядное свидетельство того, что люди, желающие получить взломанные программные продукты, сталкиваются с повышенным риском заражения вредоносным ПО.