Бесплатный сыр от криптомайнеров
Неизвестные злоумышленники распространяют модифицированные вредоносные установщики KMSpico. Они заражают Windows-системы вирусами, ворующими криптовалютные кошельки.
KMSPico — популярный активатор для Windows and Office, который эмулирует сервер Windows Key Management Services (KMS), чтобы — в обход политики Microsoft — бесплатно активировать для пользователя лицензии на эти продукты. По словам ИБ-исследователей, в корпоративных IT-отделах KMSPico пользуется гораздо большей популярностью, чем настоящие лицензии Microsoft.
Обычно KMSPico распространяют через сайты с пиратским и крякнутым ПО, нередко заворачивая его в зловреды. Как видно на скриншоте ниже, сайтов много, и каждый претендует на звание официального.
Новый зловредный установщик KMSPico, который проанализировали исследователи, — это самоизвлекающийся 7-Zip архив, который содержит как настоящий KMSPico, так и вирус Cryptbot.
Вирус зашифрован через CypherIT — код обфусцируется, поэтому большинство антивирусов не распознает зловред. Установщик запускает скрипт — тоже обфусцированный, — который умеет распознавать эмуляторы и песочницы, поэтому вирус не будет работать, если его запустить на специальных устройствах исследователей.
Обфусцированный код Cryptbot
Вот список приложений, из которых Cryptbot может извлекать персональные данные:
- Криптовалютный кошелек Atomic Wallet;
- Браузер Avast Secure;
- Браузер Brave;
- Криптовалютный кошелек Ledger Live;
- Браузер Opera;
- Клиент Waves, а также приложения для обмена криптовалют;
- Криптовалютный кошелек Coinomi;
- Браузер Google Chrome;
- Криптовалютный кошелек Jaxx Liberty;
- Криптовалютный кошелек Electron Cash;
- Криптовалютный кошелек Electrum;
- Криптовалютный кошелек Exodus;
- Криптовалютный кошелек Monero;
- Криптовалютный кошелек MultiBitHD;
- Браузер Mozilla Firefox;
- Браузер CCleaner;
- Браузер Vivaldi.
Исследователи рассказали об основных четырех способах распознать угрозу:
- Бинарники, содержащие AutoIT-метадату, но не имеющие “AutoIT” в имени файлов;
- AutoIT-процессы, подключающиеся к сторонним сетям;
- findstr-команды, например findstr /V /R “^ … $
- PowerShell- или cmd.exe-команды, содержащие одновременно rd /s /q, timeout и del /f /q
Подводя итоги, если вы думали, что KSMPico — хороший способ сэкономить на лишних тратах, этот случай в очередной раз доказывает, что это не лучшая идея. Избавление от вирусов, кража ценных данных и потеря украденной криптовалюты обойдутся куда дороже, чем настоящие лицензии на Windows и Office.