Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Установщик активатора Windows — KMSPico похищает криптовалюту пользователей (http://txgate.io:443/showthread.php?t=13449)

Artifact 05-11-2025 11:52 AM

Киберпреступники распространяют изменённые установщики KMSpico, заражая компьютеры на Windows вредоносной программой, похищающей данные криптовалютных кошельков. Специалисты Red Canary предостерегают пользователей от скачивания пиратского софта, который и является источником заражения.
KMSPico представляет собой популярный активатор для продуктов Microsoft Windows и Office, его задача — эмулировать сервер Windows Key Management Services (KMS) и активировать фейковую лицензию.
По данным Red Canary, многие ИТ-отделы используют KMSPico вместо лицензионного софта для активации систем. Именно поэтому сисадминам и обычным пользователям стоит учитывать риски, которые неизбежно связаны со скачиванием пиратского ПО.
Само собой, KMSPico размещён на сайтах соответствующей тематики, а выкладывающие этот активатор люди, как правило, оснащают подобные тулзы адваре и вредоносами. На скриншоте поисковой выдачи ниже можно увидеть множество ресурсов, распространяющих KMSPico. Причём каждый из них называет себя официальным сайтом:
https://www.anti-malware.ru/files/kms_pico.jpg
Вредоносный инсталлятор KMSPico, на который наткнулись (PDF) эксперты Red Canary, содержал самораспаковывающийся архив 7-Zip, в котором хранился как сам эмулятор сервера, так и зловред Cryptbot. Злоумышленники воспользовались упаковщиком CypherIT, помогающим обфусцировать инсталлятор и скрыть его от антивирусных программ.
Также вредонос располагает скриптом, предназначенным для детектирования песочниц и виртуальных сред. Кроме того, Cryptobot проверяет наличие директории %APPDATA%\Ramson и запускает процесс самоуничтожения, если папка уже имеется на компьютере жертвы. Зловред собирает данные из следующих приложений:
<ul><li>Криптокошелёк Atomic</li>
</ul><ul><li>Браузер Avast Secure</li>
</ul><ul><li>Браузер Brave</li>
</ul><ul><li>Криптокошелёк Ledger Live</li>
</ul><ul><li>Браузер Opera</li>
</ul><ul><li>Waves Client и Exchange</li>
</ul><ul><li>Криптокошелёк Coinomi</li>
</ul><ul><li>Браузер Google Chrome</li>
</ul><ul><li>Криптокошелёк Jaxx Liberty</li>
</ul><ul><li>Криптокошелёк Electron Cash</li>
</ul><ul><li>Криптокошелёк Electrum</li>
</ul><ul><li>Криптокошелёк Exodus</li>
</ul><ul><li>Криптокошелёк Monero</li>
</ul><ul><li>Криптокошелёк MultiBitHD</li>
</ul><ul><li>Браузер Mozilla Firefox</li>
</ul><ul><li>Браузер CCleaner</li>
</ul><ul><li>Браузер Vivaldi</li>
</ul>


All times are GMT. The time now is 07:31 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.