Вредоносная программа Cryptbot для кражи данных пробирается на компьютеры как поддельный инструмент активации Windows

Установка пиратского ПО — всегда рискованное дело. Хакерские инструменты, используемые для обхода законной активации программного обеспечения, довольно часто включают вирусы и вредоносные программы. Последним в длинной череде вредоносных программ является популярный инструмент активации, нацеленный на ваши криптовалютные кошельки.

Угрозу впервые заметили аналитики по безопасности Red Canary . Сообщается, что злоумышленники используют поддельную версию KMSPico. для заражения компьютеров Windows вредоносным ПО, известным как Cryptbot. Затронутый инструмент используется для активации всех функций продуктов Microsoft Windows и Office без фактического владения лицензионным ключом. Как указывает Red Canary, инструменты безопасности обычно блокируют KMSPico как потенциально нежелательную программу (PUP). По этой причине программное обеспечение обычно поставляется с инструкциями по отключению антивирусного и антивирусного программного обеспечения.

Это оставляет компьютер открытым для заражения вредоносными программами, такими как Cryptbot. Эта неприятная маленькая вредоносная программа, по словам Red Canary, «наносит вред организациям, похищая учетные данные и другую конфиденциальную информацию из уязвимых систем». Большая часть этих личных данных берется из программного обеспечения, связанного с криптовалютой .

Большая часть программного обеспечения, из которого Cryptbot крадет информацию, — это криптовалютные кошельки. Вот список приложений, которые, как известно, подвержены риску:

  • Атомный криптовалютный кошелек
  • Криптовалютный кошелек Ledger Live
  • Криптовалютные приложения Waves Client и Exchange
  • Кошелек для криптовалюты Coinomi
  • Криптовалютный кошелек Jaxx Liberty
  • Криптовалютный кошелек Электрон Кэш
  • Электрум криптовалютный кошелек
  • Криптовалютный кошелек Exodus
  • криптовалютный кошелек монеро
  • MultiBitHD криптовалютный кошелек

Red Canary говорит, что Cryptbot также пытается получить информацию из веб-браузеров, включая Google Chrome, Mozilla Firefox, Opera, Brave и Vivaldi. Кроме того, Cryptbot пытается перекачивать информацию из инструмента управления системой CCleaner.

Обнаружить заражение Cryptbot сложно, так как вредоносное ПО использует различные методы для своей маскировки. Злоумышленники иногда используют шифровальщик CypherIT AutoIT, например, для запутывания Cryptbot. Red Canary описывает две возможные стратегии обнаружения вредоносного ПО.

Вы можете искать на жестком диске двоичные файлы, содержащие метаданные AutoIT, но не содержащие «AutoIT» в имени файла. Вы также можете искать PowerShell или cmd.exe команды удаления, содержащие rd /s /q , timeout и del /f /q вместе.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал