Cryptbot Stealer

En ny attackkampanj som distribuerar en skadlig programvara som stjäl vid namn Cryptbot Stealer har identifierats av cybersäkerhetsforskare. Detaljer om den hotfulla operationen släpptes i en blogg av Red Canary. Enligt dess resultat var Cryptbot Stealer inriktad på användare som ville få tag i olagliga knäckta mjukvaruprodukter eller de som syftade till att kringgå upphovsrättslicenserna för legitima produkter.

Mer specifikt märkte forskarna att Cryptbot-hotet använde falska KMSPico-installatörer för att infiltrera sina offers datorer. Efter att ha varithar implementerats framgångsrikt, kan Cryptbot börja skörda karies känslig information från komprometterade enheter. Den kan samla in data från många webbläsare - Opera, Chrome, Firefox, Vivaldi, CCleaner webbläsare och Brave. Samtidigt kan angriparna också få tag i offrets data sparade i många kryptovaluta plånboksapplikationer, såsom Atomic, Ledger Live, Coinomi, Electrum, Monero och många fler.

Beslutet att använda falska KMSPico-installatörer är ganska genialiskt. KMSPico-verktyget är ett av de mest populära programmen som människor använder för att aktivera betalfunktionerna i de flesta Microsoft-produkter, som Windows och Office. Applikationen tillåter användare att förfalska den legitima licensen som behövs för att låsa upp de fullständiga versionerna av de valda produkterna utan att behöva betala för dem. Som namnet antyder utnyttjar verktyget de legitima Windows Key Management Services (KMS) som normalt skulle användas av företag för att installera en legitim KMS-server och sedan använda GPO (Group Policy Objects) för klientsystemen som skulle kommunicera med servern.

Cryptbot Stealer-kampanjen är ytterligare ett tydligt bevis på att människor som vill skaffa knäckta mjukvaruprodukter löper ökade risker att drabbas av en skadlig programvara.