Злоумышленники распространяют измененные установщики KMSpico для заражения устройств Windows вредоносным ПО, которое крадет кошельки с криптовалютой.
Эта активность была замечена исследователями Red Canary, которые предупреждают, что пиратское программное обеспечение для экономии на лицензионных расходах не стоит риска.
KMSPico — это популярный активатор продуктов Microsoft Windows и Office, который имитирует сервер Windows Key Management Services (KMS) для мошеннической активации лицензий.
Согласно Red Canary, многие ИТ-отделы, использующие KMSPico вместо законных лицензий на программное обеспечение Microsoft, намного больше, чем можно было бы ожидать.
«Мы наблюдали, как несколько ИТ-отделов используют KMSPico вместо законных лицензий Microsoft для активации систем», — пояснил аналитик Red Canary Тони Ламберт.
«Фактически, мы даже столкнулись с одним злополучным взаимодействием по реагированию на инциденты, когда наш IR-партнер не смог исправить одну среду из-за того, что у организации не было ни одной действующей лицензии Windows в этой среде».
Активаторы загрязненных продуктов
KMSPico обычно распространяется через пиратское программное обеспечение и взламывает сайты, которые упаковывают инструмент в установщики, содержащие рекламное и вредоносное ПО.
Как вы можете видеть ниже, существует множество сайтов, созданных для распространения KMSPico, и все они претендуют на звание официального сайта.
Вредоносный установщик KMSPico, проанализированный RedCanary, имеет самораспаковывающийся исполняемый файл, такой как 7-Zip, и содержит как фактический эмулятор сервера KMS, так и Cryptbot.
«Пользователь заражается, щелкая одну из вредоносных ссылок и загружая KMSPico, Cryptbot или другое вредоносное ПО без KMSPico», — поясняет технический анализ кампании.
«Злоумышленники также устанавливают KMSPico, потому что именно этого ожидает жертва, одновременно развертывая Cryptbot за кулисами».
Вредоносная программа упакована упаковщиком CypherIT, который запутывает программу установки, чтобы предотвратить ее обнаружение программным обеспечением безопасности. Затем этот установщик запускает сценарий, который также сильно запутан, который способен обнаруживать песочницы и эмуляцию AV, поэтому он не будет выполняться при запуске на устройствах исследователя.
Более того, Cryptobot проверяет наличие «% APPDATA% \ Ramson» и выполняет процедуру самоудаления, если папка существует, чтобы предотвратить повторное заражение.
Внедрение байтов Cryptbot в память происходит с помощью метода обработки пустот, в то время как рабочие характеристики вредоносной программы частично совпадают с результатами предыдущих исследований.
Таким образом, Cryptbot может собирать конфиденциальные данные из следующих приложений:
- Кошелек для криптовалюты Atomic
- Веб-браузер Avast Secure
- Смелый браузер
- Кошелек криптовалюты Ledger Live
- Браузер Opera
- Приложения для криптовалюты Waves Client и Exchange
- Кошелек для криптовалюты Coinomi
- Веб-браузер Google Chrome
- Кошелек для криптовалюты Jaxx Liberty
- Кошелек для криптовалюты Electron Cash
- Кошелек для криптовалюты Electrum
- Криптовалютный кошелек Exodus
- Кошелек для криптовалюты Monero
- Кошелек для криптовалюты MultiBitHD
- Веб-браузер Mozilla Firefox
- Веб-браузер CCleaner
- Веб-браузер Vivaldi
Поскольку работа Cryptbot не зависит от наличия незашифрованных двоичных файлов на диске, обнаружение этого возможно только путем отслеживания злонамеренного поведения, такого как выполнение команд PowerShell или внешнее сетевое взаимодействие.
Red Canary разделяет следующие четыре ключевых момента для обнаружения угроз:
- двоичные файлы, содержащие метаданные AutoIT, но не имеющие «AutoIT» в именах файлов.
- Процессы AutoIT, устанавливающие внешние сетевые подключения
- команды findstr, аналогичные командам findstr / V / R «^… $
- Команды PowerShell или cmd.exe, содержащие вместе rd / s / q, timeout и del / f / q
Таким образом, если вы думали, что KSMPico — это разумный способ сэкономить на ненужных затратах на лицензирование, приведенное выше иллюстрирует, почему это плохая идея.
Реальность такова, что потеря дохода из-за реагирования на инциденты, атак программ-вымогателей и кражи криптовалюты из-за установки пиратского программного обеспечения может быть больше, чем стоимость фактических лицензий Windows и Office.
Последнее обновление 05.01.2023
