攻击者传播恶意KMSpico安装程序以感染Windows设备并窃取加密货币钱包。KMSpicoInstaller是一种非常流行的Windows和Office产品激活工具,它??可以冒充Windows密钥管理服务(KMS)以欺诈方式激活证书。许多IT公司使用KMSPico激活Windows服务,而无需购买合法的Microsoft证书。最近,RedCanary安全研究人员发现攻击者正在传播经过修改的恶意KMSpico安装程序来感染Windows设备。修改后的产品激活器分发的KMSPico包含广告软件和恶意软件。如下图所示,攻击者创建了大量网站来分发KMSPico,均自称是官方网站。Google搜索KMSPico返回的结果均称,官网RedCanary通过分析发现恶意KMSPico安装程序来自7-zip等自解压可执行文件,其中同时包含KMS服务器模拟器和Cryptbot。如果用户点击恶意链接并下载KMSPico或Cryptbot或其他不包含KMSPico的恶意软件,则会被感染。安装KMSPico也会同时部署Cryptbot。该恶意软件还被CypherIT加壳程序包装,这会混淆安装程序以防止被安全软件检测到。然后安装程序会启动一个高度混淆的脚本来检测沙箱和防病毒仿真环境,如果找到则不会执行。混淆的Cryptbot代码此外,Cryptobot将检查%APPDATA%\Ramson是否存在,如果该文件夹存在,它将执行自我删除过程以防止再次感染。攻击者通过进程挖空的方式将Cryptbot字节注入内存,该恶意软件的其他特征与之前发现的特征有重叠。一般来说,Cryptbot可以从以下应用程序收集敏感信息:Atomic加密货币钱包Avast安全网络浏??览器Brave浏览器LedgerLive加密货币钱包Opera网络浏览器Waves客户端和Exchange加密货币应用程序Coinomi加密货币钱包GoogleChrome网络浏览器JaxxLiberty加密货币钱包ElectronCash加密货币钱包Electrum加密货币钱包Exodus加密货币钱包Monero加密货币钱包MultiBitHD加密货币钱包MozillaFirefox网页浏览器CCleaner网页浏览器Vivaldi网页浏览器因为Cryptbot不依赖硬盘驱动器未加密二进制文件的存在只能通过监控恶意行为来检测,例如PowerShell命令执行或外网通信。完整的技术分析见:https://redcanary.com/wp-content/uploads/2021/12/KMSPico-V5.pdf本文翻译自:https://www.bleepingcomputer.com/news/security/malicious-kmspico-installers-steal-your-cryptocurrency-wallets/如有转载请注明出处。
