Хакеры заражают активаторы Windows, такие как KMSPico, для кражи криптовалютных кошельков

Почему это важно: пиратство программного обеспечения не ново, но с распространением «активаторов» для Windows и Office у вас также есть злоумышленники, пытающиеся воспользоваться преимуществами ничего не подозревающих пользователей, которые используют такие инструменты. Их жертвы делают это, полагая, что экономят на лицензировании программного обеспечения, но в то же время они подвергают свои системы сложному вредоносному ПО, которое уклоняется от обнаружения коммерческими антивирусными решениями и может украсть конфиденциальную информацию.

Если вы покупаете или собираете новый ПК, скорее всего, вам потребуется купить для него лицензию Windows. Многие люди не готовы расстаться с более чем 100 долларами, чтобы получить его, поэтому они часто прибегают к покупке дешевых ключей на веб-сайтах серого рынка или с помощью одного из нескольких «активаторов», доступных в Интернете. Последний вариант всегда является рискованным шагом, но исторически он не наносил серьезного ущерба большинству пользователей, которые пошли по этому пути.

По словам исследователей безопасности из Red Canary, злоумышленники недавно модифицировали один из этих инструментов для распространения вредоносных программ, которые могут красть токены из криптовалютных кошельков. Речь идет об инструменте KMSPico, который может локально эмулировать сервер службы управления ключами (KMS) для активации лицензий для продуктов Windows и Office.

Один из проанализированных исследователями вредоносных установщиков KMSPico содержит вредоносное ПО Cryptbot, которое может украсть учетные данные и другую конфиденциальную информацию из веб-браузеров, установленных на вашем ПК. Это также влияет на различные криптовалютные кошельки, такие как Ledger Live, Atomic, Electrum, Exodus, Coinomi и другие. Что еще более важно, его можно использовать для удаления банковских вредоносных программ, таких как Danabot, или любой другой вредоносной полезной нагрузки.

Также стоит отметить, что вредоносное ПО Cryptbot трудно обнаружить, поскольку его создатели используют различные методы, чтобы избежать обнаружения традиционными антивирусными решениями, включая зашифрованные двоичные файлы. В любом случае, это доказывает, что идти по пути пиратства в случае с Windows и Office не стоит, если учесть связанные с этим риски. Во всяком случае, покупка ПК с предустановленной Windows во время распродажи может быть лучшим способом сэкономить деньги на лицензировании.

Аналитик разведки Red Canary Тони Ламберт говорит, что этим инструментом пользуются не только обычные домашние пользователи. Многие малые предприятия пытаются сэкономить на лицензионных расходах, используя пиратские копии Windows и Office, активированные с помощью KMSPico, что создает множество рисков безопасности для их ИТ-инфраструктуры. Ламберт отмечает, что фирма даже «сталкивалась с одним злополучным реагированием на инцидент, когда наш партнер по связям с инвесторами не смог исправить одну среду из-за того, что у организации не было ни одной действующей лицензии Windows в этой среде».

Предоставление шапки: Arget | через Unsplash