De acordo com a empresa de pesquisa de segurança Red Canary, infecções de sistemas com o conhecido malware Cryptbot foram rastreadas até um instalador KMSPico – uma ferramenta usada por softwares piratas para ativar todos os recursos dos produtos Microsoft Windows e Office.
Como as ferramentas de segurança geralmente bloqueiam o KMSPico como um programa potencialmente indesejado (PUP), o software vem com instruções para desabilitar o software antivírus e antimalware, permitindo que o Cryptobot seja executado no sistema.
“Nova análise de malware de @ForensicITGuy : #RCIntel analisou recentemente uma amostra do Cryptbot e rastreou de volta a um instalador KMSPico falso. Aqui está o que você deve procurar.”
Uma vez apresentado a um sistema, o Cryptbot o examina em busca de credenciais e outras informações confidenciais, incluindo carteiras de criptomoedas. A lista de carteiras em risco do Cryptbot é extensa e inclui produtos como Electrum, Monero, Exodus e Ledger Live, bem como outros aplicativos como navegadores da web (incluindo Google Chrome, Mozilla Firefox, Brave e Opera).
Uma vez que o instalador KMSPico aproveita o Windows Key Management Services (KMS) – uma tecnologia legítima usada para licenciamento em massa em redes corporativas – alguns departamentos de TI que realmente tinham licenças legítimas usaram a ferramenta ilícita para ativar seus sistemas, inadvertidamente corrompendo seus sistemas com o Cryptbot.
Dadas as recompensas potenciais lucrativas envolvidas na criptomoeda, o malware tem sido um espinho perene para os usuários de criptomoedas.
Os esquemas variam de malwares de mineração de criptomoedas que bloqueiam recursos do sistema até aplicativos fraudulentos projetados para definir as chaves privadas dos usuários.
Em um caso recente, um homem processou os pais de dois adolescentes que, segundo ele, usaram malware para roubar US$ 800.000 em bitcoin .
No caso do instalador KMSPico infectado, pegar atalhos e tentar obter acesso ao software sem gastar com uma licença pode acabar sendo extremamente caro para usuários de criptomoedas.