Malware nascosto in KMSpico ruba le criptovalute

Malware nascosto in KMSpico ruba le criptovalute

In una versione del tool KMSpico è nascosto il malware Crytbot che raccoglie diversi dati sensibili, tra cui le password dei portafogli di criptovalute.
Malware nascosto in KMSpico ruba le criptovalute
In una versione del tool KMSpico è nascosto il malware Crytbot che raccoglie diversi dati sensibili, tra cui le password dei portafogli di criptovalute.

I ricercatori di Red Canary hanno scoperto un malware nascosto nell’installer di KMSpico, un noto tool che attiva le licenze delle versioni pirata di Windows e Office. Cryptbot può raccogliere un numero elevato di dati sensibili, tra cui le credenziali di accesso a vari portafogli di criptovalute. Gli autori hanno utilizzato alcune tecniche per evitare l’identificazione da parte dei software antivirus.

KMSpico nasconde Cryptbot

KMSpico è un tool che permette di attivare le funzionalità complete di Windows e Office senza avere la chiave di licenza. Ciò avviene attraverso l’emulazione dei Key Management Services di Microsoft, una tecnologia usata dalle aziende per la gestione delle licenze mediante un server KMS dedicato. Nel caso di KMSpico, il server viene emulato sul dispositivo locale.

I ricercatori di Red Canary sottolineano che il tool viene solitamente identificato come PUA (Potentially Unwanted Program) dagli antivirus, quindi sono presenti le istruzioni per disattivare il controllo prima dell’installazione. Su Internet ci sono però molte versioni infette di KMSpico, una delle quali contiene Cryptbot.

Il codice dell’installer è offuscato, quindi non rilevabile dalle soluzioni di sicurezza. Sul disco locale non viene copiato nessun file in chiaro (sono tutti cifrati). Per scoprire la sua presenza è necessario effettuare ricerche specifiche con PowerShell oppure monitorare il traffico di rete verso determinati domini.

Cryptbot raccoglie numerosi dati sensibili dai principali browser (Chrome, Firefox, Opera, Brave, Vivaldi) e dai wallet di criptovalute, tra cui Atomic, Ledger Live, Electron Cash, Exodus e Monero). Ovviamente il consiglio è non installare KMSpico o simili tool pirata. Tra l’altro è possibile acquistare le licenze originali di Windows e Office a prezzi molto bassi.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
5 dic 2021
Link copiato negli appunti