据TheHackerNews网站报道,一个名为CryptBot的恶意程序伪装成流行的Windows系统第三方激活工具——KMSPico。CryptBot是一种信息窃取程序,能够收集浏览器cookie、加密货币钱包、信用卡凭据,并从受感染的系统中捕获屏幕截图。研究人员分析发现,该恶意程序被CypherIT加壳程序包裹,可以迷惑安装程序,防止被安全软件检测到。该安装程序然后启动一个同样高度混淆的脚本来检测沙箱和AV仿真,因此它不会在研究人员的设备上运行时执行。Cryptbot的混淆代码,来源:来源:RedCanary和带有恶意软件的KMSPico安装包具有自解压可执行文件,例如7-Zip,并包含实际的KMS服务器模拟器和CryptBot。由于仍有大量用户在没有产品密钥的情况下使用KMSPico激活Windows系统以获得完整的功能体验,网络不法分子对这款非官方激活工具虎视眈眈。尽管KMSPico没有所谓的真正的官方网站,但不法分子仍在四处传播所谓的“官方”软件版本。用户一旦相信就会掉入陷阱,植入恶意程序后的KMSPico也可以像普通版一样激活系统。这远不是破解软件第一次成为恶意软件的目标。2021年6月,捷克网络安全软件公司Avast披露了一项名为“Crackonosh”的活动,该活动涉及分发流行软件的非法副本,以侵入和滥用受感染的设备来挖掘加密货币,并为攻击者提供超过200万美元的收入。研究人员建议大家不要为了省钱而使用非法激活工具,稍有不慎往往得不偿失。
