Piraci oprogramowania Windows tracą swoje Bitcoiny

9 grudnia 2021 18:57

Autor: Redakcja

21 MARCA 2024 11:18

Piraci oprogramowania, szukający darmowej kopii systemu Microsoft Windows, wpadają w sidła zainfekowanych złośliwym oprogramowaniem “narzędzi aktywacyjnych”, które opróżniają ich portfele z kryptowalut.

Według firmy badawczej Red Canary, infekcje systemów dobrze znanym złośliwym oprogramowaniem Cryptbot zostały prześledzone wstecz do fałszywego instalatora KMSPico – narzędzia używanego przez piratów oprogramowania do aktywacji pełnych funkcji produktów Microsoft Windows i Office bez posiadania klucza licencyjnego.

Ponieważ narzędzia zabezpieczające zazwyczaj blokują KMSPico jako potencjalnie niechciany program (PUP), oprogramowanie jest dostarczane wraz z instrukcjami dotyczącymi wyłączania oprogramowania antywirusowego i anty-malware – pozwalając Cryptbotowi buszować po systemie.

New malware analysis from @ForensicITGuy: #RCIntel recently analyzed a sample of Cryptbot and traced it back to a fake KMSPico installer. Here’s what to look out for. https://t.co/Msj1M4cKOP

— Red Canary (@redcanary) December 2, 2021

Po wprowadzeniu do systemu, Cryptbot przeszukuje go w poszukiwaniu danych uwierzytelniających i innych poufnych informacji, w tym portfeli kryptowalut. Lista portfeli zagrożonych przez malware jest obszerna i obejmuje takie produkty jak Electrum, Monero, Exodus i Ledger Live. Narażone też są przeglądarki internetowe (w tym Google Chrome, Mozilla Firefox, Brave i Opera).

Ponieważ instalator KMSPico wykorzystuje Windows Key Management Services (KMS) – legalną technologię używaną do masowego licencjonowania w sieciach przedsiębiorstw – niektóre działy IT, które rzeczywiście posiadały legalne licencje, również padły ofiarą Cryptbota.