ΑρχικήsecurityΚακόβουλα KMSpico installers χρησιμοποιούνται για την κλοπή crypto wallets

Κακόβουλα KMSpico installers χρησιμοποιούνται για την κλοπή crypto wallets

Εγκληματίες του κυβερνοχώρου διανέμουν τροποποιημένα KMSpico installers για να μολύνουν συσκευές Windows με κακόβουλο λογισμικό που κλέβει crypto wallets.

KMSpico installers
Κακόβουλα KMSpico installers χρησιμοποιούνται για την κλοπή crypto wallets

Την κακόβουλη δραστηριότητα εντόπισαν ερευνητές της Red Canary, οι οποίοι προειδοποιούν ότι τα πειρατικά λογισμικά μπορούν να θέσουν σε μεγάλο κίνδυνο τους χρήστες.

Δείτε επίσης: Καμπάνια Discord malware στοχεύει κοινότητες crypto και NFT

Το KMSPico είναι ένα δημοφιλές Microsoft Windows και Office product activator που προσομοιώνει ένα Windows Key Management Services (KMS) server για την ενεργοποίηση αδειών παράνομα.

Σύμφωνα με την Red Canary, πολλά IT τμήματα χρησιμοποιούν το KMSPico αντί για νόμιμα Microsoft software licenses.

Μολυσμένα product activators

Το KMSPico διανέμεται συνήθως μέσω πειρατικού λογισμικού και crack sites που βάζουν το εργαλείο σε installers που περιέχουν adware και κακόβουλο λογισμικό.

Σύμφωνα με τους ερευνητές, υπάρχουν πολλά sites που δημιουργήθηκαν για τη διανομή του KMSPico, και όλα ισχυρίζονται ότι είναι ο επίσημος ιστότοπος.

Ένα κακόβουλο KMSPico installer που αναλύθηκε από τη Red Canary έρχεται σε ένα self-extracting executable, όπως 7-Zip, και περιέχει έναν πραγματικό KMS server emulator και το Cryptbot.

Ο χρήστης μολύνεται κάνοντας κλικ σε έναν από τους κακόβουλους συνδέσμους και πραγματοποιεί λήψη του KMSPico και του Cryptbot ή άλλου κακόβουλου λογισμικού χωρίς το KMSPico“, εξηγούν οι ειδικοί.

Δείτε επίσης: Bitmart hacked: Hackers έκλεψαν $196 εκατομμύρια από την πλατφόρμα

Οι επιτιθέμενοι εγκαθιστούν το KMSPico, επειδή το θύμα αυτό περιμένει, ενώ ταυτόχρονα αναπτύσσουν κρυφά το Cryptbot“.

crypto wallets Cryptbot

Το κακόβουλο λογισμικό είναι κρυμμένο από το CypherIT packer που αποτρέπει τον εντοπισμό του από το λογισμικό ασφαλείας. Στη συνέχεια, αυτό το installer χρησιμοποιεί ένα script, το οποίο είναι ικανό να ανιχνεύει sandboxes και AV emulation, ώστε να μην εκτελεστεί σε συσκευές ερευνητών.

Δείτε επίσης: Hackers εκμεταλλεύονται ένα νέο Zoho ServiceDesk exploit

Επιπλέον, το Cryptbot ελέγχει για την παρουσία του “%APPDATA%\Ramson” και εκτελεί τη ρουτίνα αυτο-διαγραφής, εάν ο φάκελος υπάρχει.

Συνοπτικά, το Cryptbot είναι σε θέση να συλλέγει ευαίσθητα δεδομένα από τις ακόλουθες εφαρμογές:

  • Atomic cryptocurrency wallet
  • Avast Secure web browser
  • Brave browser
  • Ledger Live cryptocurrency wallet
  • Opera Web Browser
  • Waves Client and Exchange cryptocurrency applications
  • Coinomi cryptocurrency wallet
  • Google Chrome web browser
  • Jaxx Liberty cryptocurrency wallet
  • Electron Cash cryptocurrency wallet
  • Electrum cryptocurrency wallet
  • Exodus cryptocurrency wallet
  • Monero cryptocurrency wallet
  • MultiBitHD cryptocurrency wallet
  • Mozilla Firefox web browser
  • CCleaner web browser
  • Vivaldi web browser

Τα παραπάνω δείχνουν ότι η επιλογή ενός πειρατικού λογισμικού, όπως το KSMPico, για την εξοικονόμηση χρημάτων δεν είναι καλή ιδέα, δεδομένου ότι υπάρχουν πολλοί κίνδυνοι, όπως σε αυτή την περίπτωση με την crypto wallets.

Η απώλεια εσόδων λόγω επιθέσεων ransomware και κλοπής cryptocurrencies που μπορούν να προκληθούν από την εγκατάσταση πειρατικού λογισμικού, θα είναι σίγουρα μεγαλύτερη από το κόστος των αδειών των Windows και του Office.

Πηγή: Bleeping Computer

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS