Des installateurs malveillants de KMSPico volent vos portefeuilles de crypto-monnaie

  • Principal
  • Nouvelles
  • Des installateurs malveillants de KMSPico volent vos portefeuilles de crypto-monnaie

Les acteurs de la menace déploient des programmes d'installation modifiés de KMSpico pour infecter les appareils Windows avec des logiciels malveillants qui volent les portefeuilles de crypto-monnaie.

Cette activité a été détectée par les chercheurs de Red Canary, qui avertissent que le piratage de logiciels pour économiser sur les coûts de licence ne vaut pas le risque.

KMSPico est un activateur de produits Microsoft Windows et Office populaire qui émule un serveur Windows Key Management Services (KMS) pour activer frauduleusement des licences.

Selon Red Canary, de nombreux services informatiques utilisant KMSPico au lieu de licences logicielles Microsoft légitimes sont beaucoup plus importants que prévu.

'Nous avons vu plusieurs départements informatiques utiliser KMSPico au lieu de licences Microsoft légitimes pour alimenter les systèmes', a déclaré Tony Lambert, analyste du renseignement chez Red Canary.

'En fait, nous avons même subi une intervention malheureuse en réponse à un incident où notre partenaire IR n'a pas été en mesure de réparer un environnement car l'organisation ne disposait pas d'une seule licence Windows valide dans l'environnement.'

Activateurs de produits contaminés

KMSPico est généralement distribué via des logiciels piratés et des sites de crack qui enveloppent l'outil dans des programmes d'installation contenant des logiciels publicitaires et des logiciels malveillants.

Comme vous pouvez le voir ci-dessous, il existe de nombreux sites mis en place pour distribuer KMSPico, et ils prétendent tous être le site officiel.

La plupart des résultats de recherche Google pour KMSPico renvoient des sites prétendant être officiels

La plupart des résultats de recherche Google sont des sites qui prétendent être officiels.

Un programme d'installation malveillant de KMSPico analysé par RedCanary est fourni dans un exécutable auto-extractible sous le nom de 7-Zip et contient un véritable émulateur de serveur KMS et Cryptbot.

'L'utilisateur est infecté en cliquant sur l'un des liens malveillants et télécharge KMSPico, Cryptbot ou d'autres logiciels malveillants sans KMSPico', explique une analyse technique de la campagne.

'Les adversaires installent également KMSPico, car c'est ce à quoi la victime s'attend, tout en déployant simultanément Cryptbot dans les coulisses.'

Le logiciel malveillant est intégré au package CypherIT qui obscurcit le programme d'installation pour empêcher sa détection par un logiciel de sécurité. Ce programme d'installation lance ensuite un script qui est également fortement obscurci, qui est capable de détection de bac à sable et d'émulation AV, de sorte qu'il ne s'exécutera pas lorsqu'il sera exécuté sur des appareils investigateurs.

Code obscurci de Cryptobot

Code obscurci de Cryptobot
Police : rouge canari

De plus, Cryptobot recherche '%APPDATA%Ramson' et exécute sa routine d'auto-suppression si le dossier existe pour empêcher la réinfection.

L'injection d'octets Cryptbot dans la mémoire est effectuée à l'aide de la méthode de vidage de processus, tandis que les caractéristiques opérationnelles du logiciel malveillant se chevauchent avec les résultats de recherche ci-dessus.

En bref, Cryptbot peut collecter des données sensibles à partir des applications suivantes :

  • Portefeuille de crypto-monnaie atomique
  • Navigateur Web sécurisé Avast
  • navigateur courageux
  • Portefeuille de crypto-monnaie Ledger Live
  • Navigateur Web Opéra
  • Client Waves et applications de crypto-monnaie Exchange
  • Portefeuille de crypto-monnaie Coinomi
  • Navigateur Web Google Chrome
  • Portefeuille de crypto-monnaie Jaxx Liberty
  • Portefeuille de crypto-monnaie Electron Cash
  • Portefeuille électronique de crypto-monnaie
  • Portefeuille de crypto-monnaie Exodus
  • Portefeuille de crypto-monnaie Monero
  • Portefeuille de crypto-monnaie MultiBitHD
  • Navigateur Internet Mozilla Firefox
  • Navigateur Web CCleaner
  • Navigateur Web Vivaldi

Étant donné que le fonctionnement de Cryptbot ne repose pas sur l'existence de fichiers binaires non chiffrés sur le disque, sa détection n'est possible qu'en surveillant les comportements malveillants tels que l'exécution de commandes PowerShell ou la communication réseau externe.

Red Canary partage les quatre points clés suivants pour la détection des menaces :

  • les binaires qui contiennent des métadonnées AutoIT mais qui n'ont pas 'AutoIT' dans leurs noms de fichiers
  • Processus AutoIT qui établissent des connexions réseau externes
  • Commandes Findstr similaires à Findstr /V /R ^…$
  • Commandes PowerShell ou cmd.exe contenant rd /s /q, timeout et del /f /q ensemble

En bref, si vous pensiez que KSMPico était un moyen intelligent d'économiser sur les coûts de licence inutiles, ce qui précède illustre pourquoi c'est une mauvaise idée.

La réalité est que la perte de revenus due à la réponse aux incidents, aux attaques de ransomwares et au vol de crypto-monnaie résultant de l'installation de logiciels piratés peut dépasser le coût des licences Windows et Office réelles.

Qu'est-ce que tu penses?