Les pirates de logiciels en herbe ont eu affaire à un outil contaminé par un malware qui récolte les informations sensibles des portefeuilles de crypto-monnaies.
Les pirates informatiques qui cherchent à obtenir une copie gratuite de Microsoft Windows se heurtent à des « outils d’activation » truffés de logiciels malveillants qui vident leurs portefeuilles de cryptomonnaie.
Selon la société de recherche en sécurité Red Canary (via PC World), les infections de systèmes par le célèbre malware Cryptbot ont été retracées jusqu’à un faux programme d’installation KMSPico, un outil utilisé par les pirates logiciels pour activer toutes les fonctionnalités des produits Microsoft Windows et Office sans posséder de clé de licence.
Comme les outils de sécurité bloquent généralement KMSPico en tant que programme potentiellement indésirable (PUP), le logiciel est accompagné d’instructions permettant de désactiver les logiciels antivirus et anti-malware, ce qui permet à Cryptobot de se répandre sur le système.
Nouvelle analyse de malware de @ForensicITGuy : RCIntel a récemment analysé un échantillon de Cryptbot et l’a relié à un faux installateur de KMSPico. Voici ce qu’il faut rechercher. https://t.co/Msj1M4cKOP
– Red Canary (@redcanary) December 2, 2021
Une fois introduit dans un système, Cryptbot le parcourt à la recherche d’informations d’identification et d’autres informations sensibles, notamment des portefeuilles de crypto-monnaies. La liste des portefeuilles menacés par Cryptbot est très longue et comprend notamment Electrum, Monero, Exodus et Ledger Live, ainsi que d’autres applications telles que les navigateurs Web (notamment Google Chrome, Mozilla Firefox, Brave et Opera).
Étant donné que le programme d’installation de KMSPico s’appuie sur Windows Key Management Services (KMS) – une technologie légitime utilisée pour l’octroi de licences en masse sur les réseaux d’entreprise – certains services informatiques disposant de licences légitimes auraient utilisé l’outil illicite pour activer leurs systèmes, corrompant par inadvertance leurs systèmes avec Cryptbot.
Malware targets crypto
Compte tenu des récompenses potentielles lucratives liées aux crypto-monnaies, les logiciels malveillants ont toujours été une épine dans le pied des utilisateurs de crypto-monnaies. Il peut s’agir de logiciels malveillants qui exploitent les ressources du système ou d’applications cryptographiques frauduleuses conçues pour voler les clés privées des utilisateurs.
CryptBot est un cryptocurrency wallet, cookies & ; payment data grabber capable de prendre des images des appareils affectés. Malware déguisé en KMSPico a été utilisé dans la récente attaque, qui a été facilitée par l’utilisation de software compromis. CyberSecurity infosec CTF BugBounty CVE
– Cyber Security Tricks (@Mawg0ud) December 7, 2021
Dans une affaire récente, un homme a poursuivi les parents de deux adolescents qui, selon lui, ont utilisé un logiciel malveillant pour voler 800 000 $ en bitcoins.
Dans le cas de l’installateur KMSPico infecté, prendre des raccourcis et essayer d’accéder à un logiciel sans payer de licence pourrait s’avérer extrêmement coûteux pour les utilisateurs de crypto-monnaies.
