I potenziali pirati del software si sono imbattuti in uno strumento contaminato da malware che raccoglie informazioni sensibili dai portafogli di criptovalute.
I pirati del software che cercano di ottenere una copia gratuita di Microsoft Windows sono incappati in “strumenti di attivazione” infarciti di malware che svuotano i loro portafogli di criptovalute.
Secondo la società di ricerca sulla sicurezza Red Canary (via PC World), le infezioni dei sistemi con il noto malware Cryptbot sono state ricondotte a un falso installer KMSPico, uno strumento utilizzato dai pirati del software per attivare tutte le funzionalità di Microsoft Windows e Office senza possedere una chiave di licenza.
Poiché gli strumenti di sicurezza di solito bloccano KMSPico come un programma potenzialmente indesiderato (PUP), il software viene fornito con le istruzioni per disabilitare il software antivirus e anti-malware, permettendo a Cryptobot di dilagare sul sistema.
Nuova analisi del malware da @ForensicITGuy: RCIntel ha recentemente analizzato un campione di Cryptbot e l’ha ricondotto a un falso installer di KMSPico. Ecco a cosa prestare attenzione. https://t.co/Msj1M4cKOP
– Red Canary (@redcanary) December 2, 2021
Una volta introdotto in un sistema, Cryptbot lo setaccia alla ricerca di credenziali e altre informazioni sensibili, compresi i portafogli di criptovalute. L’elenco dei portafogli a rischio di Cryptbot è ampio e comprende criptovalute come Electrum, Monero, Exodus e Ledger Live, così come altre applicazioni come i browser web (tra cui Google Chrome, Mozilla Firefox, Brave e Opera).
Dal momento che il programma di installazione KMSPico sfrutta Windows Key Management Services (KMS) – una tecnologia legittima utilizzata per le licenze di massa attraverso le reti aziendali – alcuni dipartimenti IT che avevano effettivamente licenze legittime hanno riferito di aver utilizzato lo strumento illecito per attivare i loro sistemi, corrompendo inavvertitamente i loro sistemi con Cryptbot.
Malware mira alla crittografia
Data la lucrosa ricompensa potenziale coinvolta nelle criptovalute, il malware è stato una perenne spina nel fianco degli utenti di criptovalute. Gli schemi vanno dal malware di cripto-mining che lega le risorse del sistema alle app fraudolente di criptovalute progettate per incastrare le chiavi private degli utenti.
CryptBot è un cryptocurrency wallet, cookies & payment data grabber capace di prendere immagini dai dispositivi colpiti. Malware travestito da KMSPico è stato usato nel recente attacco, che è stato facilitato dall’uso di software compromessi. CyberSecurity infosec CTF BugBounty CVE
– Cyber Security Tricks (@Mawg0ud) December 7, 2021
In un caso recente, un uomo ha citato in giudizio i genitori di due adolescenti che sostiene abbiano usato un malware per rubare 800.000 dollari di Bitcoin.
Nel caso dell’installer infetto di KMSPico, prendere scorciatoie e cercare di accedere al software senza sborsare una licenza potrebbe finire per essere estremamente costoso per gli utenti di crypto.
