KMSPico|恶意 KMSPico 安装程序会窃取您的加密货币钱包_

文章插图
攻击者正在分发经过更改的 KMSpico 安装程序，以使用窃取加密货币钱包的恶意软件感染 Windows 设备。

Red Canary 的研究人员发现了这一活动，他们警告说，为了节省许可成本而盗版软件不值得冒险。

KMSPico 是一种流行的 Microsoft Windows 和 Office 产品激活器，它模拟 Windows 密钥管理服务 (KMS) 服务器以欺诈方式激活许可证。

根据 Red Canary 的说法，许多使用 KMSPico 而不是合法的 Microsoft 软件许可证的 IT 部门比人们预期的要大得多。

“我们观察到多个 IT 部门使用 KMSPico 而不是合法的 Microsoft 许可证来激活系统，”Red Canary 情报分析师 Tony Lambert 解释说。

“事实上，我们甚至经历过一次不幸的事件响应参与，我们的 IR 合作伙伴无法修复一个环境，因为该组织在环境中没有一个有效的 Windows 许可证。”

受污染的产品活化剂
KMSPico 通常通过盗版软件和破解站点进行分发，这些站点将工具包装在包含广告软件和恶意软件的安装程序中。

正如您在下面看到的，创建了许多分发 KMSPico 的站点，所有站点都声称是官方站点。

文章插图
RedCanary 分析的恶意 KMSPico 安装程序带有自解压可执行文件，如 7-Zip，并且包含实际的 KMS 服务器模拟器和Cryptbot。

【 KMSPico|恶意 KMSPico 安装程序会窃取您的加密货币钱包】“用户通过单击其中一个恶意链接并下载 KMSPico、Cryptbot 或其他没有 KMSPico 的恶意软件而被感染，”对该活动的技术分析解释说，

“对手也安装了 KMSPico，因为这是受害者期望发生的事情，同时在幕后部署 Cryptbot。”

该恶意软件由CypherIT 打包程序进行包装，该程序会混淆安装程序以防止其被安全软件检测到。然后，此安装程序会启动一个同样经过严重混淆的脚本，该脚本能够检测沙箱和 AV 仿真，因此在研究人员的设备上运行时不会执行。

文章插图
此外，Cryptobot 会检查“%APPDATA%\Ramson”是否存在，如果文件夹存在，则执行其自我删除程序以防止再次感染。

将 Cryptbot 字节注入内存是通过进程挖空方法发生的，而恶意软件的操作特征与之前的研究结果重叠。

总之，Cryptbot 能够从以下应用程序收集敏感数据:

原子加密货币钱包
Avast Secure Web 浏览器
勇敢的浏览器
Ledger Live 加密货币钱包
Opera 网页浏览器
Waves Client 和 Exchange 加密货币应用程序
Coinomi 加密货币钱包
谷歌 Chrome 网络浏览器
Jaxx Liberty 加密货币钱包
电子现金加密货币钱包
Electrum 加密货币钱包
Exodus 加密货币钱包
门罗币钱包
MultiBitHD 加密货币钱包
Mozilla Firefox 网络浏览器
CCleaner 网页浏览器
维瓦尔第网页浏览器

由于 Cryptbot 的操作不依赖于磁盘上是否存在未加密的二进制文件，因此只能通过监视 PowerShell 命令执行或外部网络通信等恶意行为来检测它。

Red Canary 分享了以下四个威胁检测关键点:

包含 AutoIT 元数据但文件名中没有“AutoIT”的二进制文件
AutoIT 进程建立外部网络连接
findstr 命令类似于 findstr /V /R “^ ... $
包含 rd /s /q、timeout 和 del /f /q 的 PowerShell 或 cmd.exe 命令

总而言之，如果您认为 KSMPico 是一种节省不必要许可成本的明智方法，那么以上说明了为什么这是一个坏主意。