Les pirates infectent les activateurs Windows comme KMSPico pour voler des portefeuilles de crypto-monnaie
Pourquoi c’est important : le piratage de logiciels n’est pas nouveau, mais avec la prolifération des «activateurs» pour Windows et Office, vous avez également des acteurs malveillants qui se bousculent pour profiter des utilisateurs sans méfiance qui utilisent de tels outils. Leurs victimes le font en pensant qu’elles économisent sur les coûts de licence logicielle, mais en même temps, elles exposent leurs systèmes à des logiciels malveillants sophistiqués qui échappent à la détection par les solutions antivirus commerciales et peuvent voler des informations sensibles.
Si vous achetez ou construisez un nouveau PC, il est probable que vous deviez acheter une licence Windows pour celui-ci. De nombreuses personnes ne sont pas disposées à débourser plus de 100 $ pour en obtenir une, elles ont donc souvent recours à l’achat de clés bon marché sur des sites Web du marché gris ou à l’utilisation de l’un des nombreux «activateurs» disponibles en ligne. Cette dernière option est toujours risquée, mais historiquement, elle n’a causé aucun dommage majeur à la plupart des utilisateurs qui ont emprunté cette voie.
Selon des chercheurs en sécurité de Red Canary, des acteurs malveillants ont récemment modifié l’un de ces outils pour diffuser des logiciels malveillants capables de voler des jetons dans des portefeuilles de crypto-monnaie. L’outil en question est KMSPico, qui peut émuler un serveur Key Management Services (KMS) localement pour activer les licences des produits Windows et Office.
L’un des programmes d’installation malveillants de KMSPico analysés par les chercheurs contient des logiciels malveillants Cryptbot qui peuvent voler les informations d’identification et d’autres informations sensibles des navigateurs Web installés sur votre PC. Cela affecte également divers portefeuilles de crypto-monnaie tels que Ledger Live, Atomic, Electrum, Exodus, Coinomi, etc. Plus important encore, il peut être utilisé pour déposer des logiciels malveillants bancaires tels que Danabot ou toute autre charge utile malveillante.
Il convient également de noter que le logiciel malveillant Cryptbot est difficile à détecter, car ses créateurs utilisent diverses méthodes pour échapper à la détection par les solutions antivirus traditionnelles, y compris les binaires cryptés. Quoi qu’il en soit, cela prouve qu’emprunter la voie du piratage dans le cas de Windows et d’Office n’en vaut pas la peine si l’on considère les risques encourus. Au contraire, l’achat d’un PC fourni avec Windows préinstallé lorsqu’il est en vente pourrait être le meilleur moyen d’économiser de l’argent sur le plan des licences.
L’analyste du renseignement de Red Canary, Tony Lambert, affirme que ce ne sont pas seulement les utilisateurs réguliers à domicile qui utilisent cet outil. De nombreuses petites entreprises tentent d’économiser sur les coûts de licence en utilisant des copies piratées de Windows et d’Office activées à l’aide de KMSPico, ce qui introduit de nombreux risques de sécurité pour leur infrastructure informatique. Lambert note que l’entreprise a même «connu un engagement de réponse à un incident malheureux où notre partenaire IR n’a pas pu remédier à un environnement car l’organisation n’avait pas une seule licence Windows valide dans l’environnement ».
Crédit d’en-tête : Arget |via Unsplash