Cryptbot Stealer

网络安全研究人员发现了一种部署名为 Cryptbot Stealer 的窃取恶意软件的新攻击活动。 Red Canary 在博客中发布了有关威胁操作的详细信息。根据其调查结果，Cryptbot Stealer 的目标是希望获得非法破解软件产品或旨在规避合法产品版权许可的用户。

更具体地说，研究人员注意到 Cryptbot 威胁使用伪造的 KMSPico 安装程序来渗透受害者的计算机。被后成功部署后，Cryptbot 可以开始从受感染的设备中收集敏感信息。它可以从多种 Web 浏览器收集数据 - Opera、Chrome、Firefox、Vivaldi、CCleaner Web 浏览器和 Brave。同时，攻击者还可以获取保存在众多加密货币钱包应用程序中的受害者数据，例如 Atomic、Ledger Live、Coinomi、Electrum、Monero 等。

使用假 KMSPico 安装程序的决定非常巧妙。 KMSPico 工具是人们用来激活大多数 Microsoft 产品（例如 Windows 和 Office）的付费功能的最受欢迎的程序之一。该应用程序允许用户欺骗解锁所选产品的完整版本所需的合法许可证，而无需为它们付费。顾名思义，该工具利用企业通常使用的合法 Windows 密钥管理服务 (KMS) 来安装合法 KMS 服务器，然后将 GPO（组策略对象）用于与服务器通信的客户端系统。

Cryptbot Stealer 活动是另一个明确的证据，表明希望获得破解软件产品的人面临更大的恶意软件感染风险。