Instaladores maliciosos do KMSPico roubam suas carteiras de criptomoedas

Os agentes de ameaças estão distribuindo instaladores KMSpico alterados para infectar dispositivos Windows com malware que rouba carteiras de criptomoedas.

Essa atividade foi identificada por pesquisadores da Red Canary, que alertam que piratear software para economizar nos custos de licenciamento não vale o risco.

KMSPico é um popular ativador de produto do Microsoft Windows e Office que emula um servidor Windows Key Management Services (KMS) para ativar licenças de forma fraudulenta.

De acordo com o Red Canary, muitos departamentos de TI que usam o KMSPico em vez de licenças de software legítimas da Microsoft são muito maiores do que se poderia esperar.

"Observamos vários departamentos de TI usando KMSPico em vez de licenças legítimas da Microsoft para ativar sistemas", explicou Tony Lambert, analista de inteligência do Red Canary. 

"Na verdade, tivemos até um compromisso malfadado de resposta a incidentes em que nosso parceiro de RI não conseguiu remediar um ambiente porque a organização não tinha uma única licença válida do Windows no ambiente."

Ativadores de produtos contaminados

O KMSPico é comumente distribuído por meio de softwares piratas e sites de cracks que envolvem a ferramenta em instaladores contendo adware e malware.

Como você pode ver abaixo, existem vários sites criados para distribuir o KMSPico, todos alegando ser o site oficial.

A maioria dos resultados da Pesquisa Google para KMSPico retorna sites que afirmam ser oficiais
A maioria dos resultados da Pesquisa Google são sites que afirmam ser oficiais

Um instalador KMSPico malicioso analisado por RedCanary vem em um executável de extração automática como 7-Zip e contém um emulador de servidor KMS real e  Cryptbot .

"O usuário é infectado clicando em um dos links maliciosos e baixa o KMSPico, Cryptbot ou outro malware sem o KMSPico", explica uma  análise técnica  da campanha,

"Os adversários instalam o KMSPico também, porque é isso que a vítima espera que aconteça, ao mesmo tempo em que implantam o Cryptbot nos bastidores."

O malware é  encapsulado pelo  empacotador CypherIT que ofusca o instalador para evitar que seja detectado pelo software de segurança. Este instalador então inicia um script que também é fortemente ofuscado, que é capaz de detectar sandboxes e emulação de AV, portanto não será executado quando executado nos dispositivos do pesquisador.

Código ofuscado do Cryptbot
Código ofuscado do Cryptbot
Fonte: Red Canary

Além disso, o Cryptobot verifica a presença de "% APPDATA% \ Ramson" e executa sua rotina de auto-exclusão se a pasta existir para evitar a reinfecção.

A injeção de bytes do Cryptbot na memória ocorre por meio do método de esvaziamento do processo, enquanto os recursos operacionais do malware se sobrepõem aos resultados de pesquisas anteriores.

Em resumo, o Cryptbot é capaz de coletar dados confidenciais dos seguintes aplicativos:

  • Carteira de criptomoeda atômica
  • Avast Secure web browser
  • Brave navegador
  • Carteira de criptomoeda Ledger Live
  • Opera Web Browser
  • Aplicativos de criptomoeda Waves Client e Exchange
  • Carteira criptomoeda Coinomi
  • Navegador da web Google Chrome
  • Carteira de criptomoeda Jaxx Liberty
  • Carteira de criptomoeda Electron Cash
  • Carteira de criptomoeda electrum
  • Carteira de criptomoeda Exodus
  • Carteira de criptomoeda Monero
  • Carteira de criptomoeda MultiBitHD
  • Navegador Mozilla Firefox
  • Navegador da web CCleaner
  • Navegador Vivaldi

Como a operação do Cryptbot não depende da existência de binários não criptografados no disco, detectá-lo só é possível monitorando o comportamento malicioso, como a execução de comando do PowerShell ou comunicação de rede externa.

O Red Canary compartilha os seguintes quatro pontos-chave para a detecção de ameaças:

  • binários contendo metadados AutoIT, mas não têm “AutoIT” em seus nomes de arquivo
  • Processos AutoIT fazendo conexões de rede externas
  • Comandos findstr semelhantes a findstr / V / R “^… $
  • Comandos PowerShell ou cmd.exe contendo rd / s / q, tempo limite e del / f / q juntos

Em resumo, se você pensou que o KSMPico é uma maneira inteligente de economizar em custos de licenciamento desnecessários, o que foi dito acima ilustra porque  é uma má ideia .

A realidade é que a perda de receita devido à resposta a incidentes, ataques de ransomware e roubo de criptomoeda da instalação de software pirata pode ser maior do que o custo das licenças reais do Windows e do Office.

 

Achou esse artigo interessante? Siga canalfsociety em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.

Fonte: https://www.bleepingcomputer.com/

Post a Comment

Postar um comentário