Podvržená verze aktivátoru Windows obsahuje malware pro kradení krypta
9.12.2021, Jan Vítek, aktualita
Každý si musí být vědom, že pokud používá neoficiální aktivátor softwaru, musí být velice opatrný a počítat s větším rizikem toho, že takový software může obsahovat malware. Ten podvržená verze KMSPico skutečně obsahuje.
Aktivátory přitom nemusí používat jen lidé, kteří se snaží zprovoznit nezaplacené kopie softwaru, ale třeba také systémoví administrátoři snažící si jen udělat svou práci trošku jednodušší. Aktuálně přitom jde o podvrženou verzi aktivátoru KMSPico, kterou zachytil bezpečnostní analytik z Red Canary.
Princip je jednoduchý, prostě se k aktivátoru přibalí jeden nechtěný dáreček, a to v tomto případě malware Cryptbot, který si pak uživatel ve snaze aktivovat systém Windows či balík Office spustí. Autoři takového "bundlu" přitom spoléhají na to, že i čistý aktivátor je kvůli svému chování antivirem obvykle označen za virus či obecně Potentially Unwanted Program (PUP) a třeba jej rovnou smaže z disku. Obvykle je tak třeba aktivátor přidat do výjimek, nebo aktivní antivirovou ochranu dočasně deaktivovat a v takovém případě už má i Cryptbot zcela volnou cestu. Co tropí?
Snaží se jednak ukrást citlivé informace, čili třeba vytáhnout přihlašovací údaje z prohlížečů včetně Google Chrome, Mozilla Firefox, Opera, Brave a Vivaldi, dále i z nástroje CCleaner a zkrátka vše, co by mu mohlo pomoci dostat se k uživatelskému účtu kryptoměnových burz nebo jiných služeb, kde uživatel může mít uloženy své kryptofinance.
Vedle toho také přímo vyhledává konkrétní lokální peněženky uložené na discích počítače, k nimž se pak snaží získat přístup a pokud je úspěšný, ihned tyto peněženky vysaje. Jde jmenovitě o následující:
- Atomic cryptocurrency wallet
- Ledger Live cryptocurrency wallet
- Waves Client and Exchange cryptocurrency applications
- Coinomi cryptocurrency wallet
- Jaxx Liberty cryptocurrency wallet
- Electron Cash cryptocurrency wallet
- Electrum cryptocurrency wallet
- Exodus cryptocurrency wallet
- Monero cryptocurrency wallet
- MultiBitHD cryptocurrency wallet
Dle Red Canary se Cryptobot snaží maskovat různými způsoby, a to třeba pomocí CypherIT AutoIT. Proto má být jeho odhalení nesnadné a nejlepší bude hledat na disku binární soubory obsahující metadata od AutoIT, ovšem které nemají ve svém názvu uvedeno AutoIT.