[[439321]]

攻擊者通過傳播惡意KMSpico 安裝器來感染W(wǎng)indows設備，并竊取加密貨幣錢包。

KMSpico安裝器是一款非常流行的Windows和office產(chǎn)品激活工具，可以模擬Windows密鑰管理服務(Key Management Services，KMS)來欺詐性地激活證書。許多IT公司都使用KMSPico激活Windows服務，而不購買合法的微軟證書。

近期，Red Canary安全研究人員發(fā)現(xiàn)有攻擊者通過傳播修改的惡意KMSpico安裝器來感染W(wǎng)indows設備。

修改的產(chǎn)品激活器

分發(fā)的KMSPico中包含廣告惡意軟件和惡意軟件。下圖中可以看出，攻擊者創(chuàng)建了大量的網(wǎng)站來分發(fā)KMSPico，都聲稱是官方網(wǎng)站。

谷歌搜索KMSPico返回的結(jié)果都稱是官方網(wǎng)站

RedCanary通過分析發(fā)現(xiàn)，惡意KMSPico安裝器來自7-zip這樣的自提取的可執(zhí)行文件，其中既包含KMS服務器模擬器，還包括Cryptbot。

用戶點擊惡意鏈接，下載KMSPico或者Cryptbot或其他不含KMSPico的惡意軟件，就會被感染。安裝KMSPico的同時也會同時部署Cryptbot。

惡意軟件還被CypherIT打包器封裝，混淆安裝器來預防被安全軟件檢測到。然后，安裝器會啟動一個嚴重混淆的腳本，該腳本可以檢測沙箱和反病毒模擬環(huán)境，如果發(fā)現(xiàn)就不會執(zhí)行。

混淆的Cryptbot代碼

此外，Cryptobot會檢查是否存在%APPDATA%\Ramson，如果文件夾存在就執(zhí)行自刪除過程來預防再次感染。攻擊者通過process hollowing方法將Cryptbot字節(jié)注入到內(nèi)存中，惡意軟件的其他特征與之前發(fā)現(xiàn)的特征有重合。

總的來看， Cryptbot 可以從以下APP中收集敏感信息：

• Atomic加密貨幣錢包
• Avast安全web瀏覽器
• Brave瀏覽器
• Ledger Live加密貨幣錢包
• Opera Web瀏覽器
• Waves Client and Exchange加密貨幣應用
• Coinomi加密貨幣錢包
• Google Chrome Web瀏覽器
• Jaxx Liberty加密貨幣錢包
• Electron Cash加密貨幣錢包
• Electrum加密貨幣錢包
• Exodus加密貨幣錢包
• Monero加密貨幣錢包
• MultiBitHD加密貨幣錢包
• Mozilla Firefox Web瀏覽器
• CCleaner Web瀏覽器
• Vivaldi Web瀏覽器

因為Cryptbot的操作并不依賴硬盤上未加密的二進制文件的存在，只可以通過監(jiān)控PowerShell命令執(zhí)行或者外部網(wǎng)絡通信等惡意行為監(jiān)控來實現(xiàn)檢測。

完整技術(shù)分析參見：https://redcanary.com/wp-content/uploads/2021/12/KMSPico-V5.pdf

本文翻譯自：https://www.bleepingcomputer.com/news/security/malicious-kmspico-installers-steal-your-cryptocurrency-wallets/如若轉(zhuǎn)載，請注明原文地址。