I ricercatori di Red Canary hanno scoperto un malware nascosto nell’installer di KMSpico, un noto tool che attiva le licenze delle versioni pirata di Windows e Office. Cryptbot può raccogliere un numero elevato di dati sensibili, tra cui le credenziali di accesso a vari portafogli di criptovalute. Gli autori hanno utilizzato alcune tecniche per evitare l’identificazione da parte dei software antivirus.
KMSpico nasconde Cryptbot
KMSpico è un tool che permette di attivare le funzionalità complete di Windows e Office senza avere la chiave di licenza. Ciò avviene attraverso l’emulazione dei Key Management Services di Microsoft, una tecnologia usata dalle aziende per la gestione delle licenze mediante un server KMS dedicato. Nel caso di KMSpico, il server viene emulato sul dispositivo locale.
I ricercatori di Red Canary sottolineano che il tool viene solitamente identificato come PUA (Potentially Unwanted Program) dagli antivirus, quindi sono presenti le istruzioni per disattivare il controllo prima dell’installazione. Su Internet ci sono però molte versioni infette di KMSpico, una delle quali contiene Cryptbot.
Il codice dell’installer è offuscato, quindi non rilevabile dalle soluzioni di sicurezza. Sul disco locale non viene copiato nessun file in chiaro (sono tutti cifrati). Per scoprire la sua presenza è necessario effettuare ricerche specifiche con PowerShell oppure monitorare il traffico di rete verso determinati domini.
Cryptbot raccoglie numerosi dati sensibili dai principali browser (Chrome, Firefox, Opera, Brave, Vivaldi) e dai wallet di criptovalute, tra cui Atomic, Ledger Live, Electron Cash, Exodus e Monero). Ovviamente il consiglio è non installare KMSpico o simili tool pirata. Tra l’altro è possibile acquistare le licenze originali di Windows e Office a prezzi molto bassi.