Cryptbot Stealer

Siber güvenlik araştırmacıları, Cryptbot Stealer adlı kötü amaçlı bir kötü amaçlı yazılımı dağıtan yeni bir saldırı kampanyası tespit etti. Tehdit operasyonuyla ilgili ayrıntılar Red Canary tarafından bir blogda yayınlandı. Elde edilen bulgulara göre, Cryptbot Stealer, yasadışı kırılmış yazılım ürünleri elde etmek isteyen veya meşru ürünlerin telif hakkı lisanslarını atlatmayı amaçlayan kullanıcıları hedef aldı.

Daha spesifik olarak, araştırmacılar Cryptbot tehdidinin kurbanlarının bilgisayarlarına sızmak için sahte KMSPico yükleyicileri kullandığını fark ettiler. Olduktan sonraBaşarılı bir şekilde konuşlandırılan Cryptbot, güvenliği ihlal edilmiş cihazlardan ciddi hassas bilgileri toplamaya başlayabilir. Opera, Chrome, Firefox, Vivaldi, CCleaner Web tarayıcıları ve Brave gibi çok sayıda Web tarayıcısından veri toplayabilir. Aynı zamanda saldırganlar, kurbanın Atomic, Ledger Live, Coinomi, Electrum, Monero ve daha pek çok kripto para cüzdan uygulamasında kayıtlı verilerini de elde edebilir.

Sahte KMSPico yükleyicilerini kullanma kararı oldukça ustaca. KMSPico aracı, insanların Windows ve Office gibi çoğu Microsoft ürününün ücretli özelliklerini etkinleştirmek için kullandığı en popüler programlardan biridir. Uygulama, kullanıcıların, seçilen ürünlerin tam sürümlerinin kilidini açmak için gereken yasal lisansı, onlar için ödeme yapmak zorunda kalmadan taklit etmelerine olanak tanır. Adından da anlaşılacağı gibi, araç, normalde kuruluşlar tarafından meşru bir KMS sunucusu kurmak için kullanılacak meşru Windows Anahtar Yönetim Hizmetleri'nden (KMS) yararlanır ve ardından sunucuyla iletişim kuracak istemci sistemleri için GPO'yu (Grup İlkesi Nesneleri) kullanır.

Cryptbot Stealer kampanyası, crackli yazılım ürünleri elde etmek isteyen kişilerin kötü amaçlı yazılım bulaşması riskinin arttığının bir başka açık kanıtıdır.