Tehdit aktörleri, Windows cihazlarına kripto para cüzdanlarını çalan kötü amaçlı yazılımları bulaştırmak için değiştirilmiş KMSpico yükleyicileri dağıtıyor.
Bu etkinlik, lisanslama maliyetlerinde tasarruf etmek için korsan yazılımların riske değmeyeceğini uyaran Red Canary’deki araştırmacılar tarafından tespit edilmiştir.
KMSPico, lisansları hileli bir şekilde etkinleştirmek için bir Windows Anahtar Yönetim Hizmetleri (KMS) sunucusuna öykünen popüler bir Microsoft Windows ve Office ürün aktivatörüdür.
Red Canary’ye göre, meşru Microsoft yazılım lisansları yerine KMSPico kullanan birçok BT departmanı, beklenenden çok daha büyük.
Red Canary istihbarat analisti Tony Lambert, “Sistemleri etkinleştirmek için meşru Microsoft lisansları yerine KMSPico kullanan birkaç BT departmanı gözlemledik,” dedi.
“Aslında, IR ortağımızın, kuruluşun ortamda tek bir geçerli Windows lisansına sahip olmaması nedeniyle bir ortamı düzeltemediği talihsiz bir olay yanıt etkileşimi bile yaşadık.”
Bozuk ürün aktivatörleri
KMSPico genellikle korsan yazılımlar aracılığıyla dağıtılır ve aracı adware ve kötü amaçlı yazılım içeren yükleyicilere saran siteleri kırır.
Aşağıda gördüğünüz gibi, KMSPico’yu dağıtmak için oluşturulan ve hepsi resmi site olduğunu iddia eden çok sayıda site vardır.
RedCanary tarafından analiz edilen kötü amaçlı bir KMSPico yükleyicisi, 7-Zip gibi kendi kendine ayıklanan bir yürütülebilir dosyada gelir ve hem gerçek bir KMS sunucu öykünücüsü hem de Cryptbot.
“Kullanıcı, kötü amaçlı bağlantılardan birine tıklayarak enfekte olur ve KMSPico, Cryptbot veya KMSPico olmadan başka bir kötü amaçlı yazılım indirir,” diye açıklıyor. teknik analiz kampanyanın,
“Rakipler KMSPico’yu da kuruyorlar, çünkü kurban aynı anda Cryptbot’u perde arkasına konuşlandırırken bunun olmasını bekliyor.”
Kötü amaçlı yazılım, CypherIT güvenlik yazılımı tarafından algılanmasını önlemek için yükleyiciyi karartan paketleyici. Bu yükleyici daha sonra, sandbox’ları ve AV öykünmelerini algılayabilen, aynı zamanda yoğun bir şekilde karartılmış bir komut dosyası başlatır, böylece araştırmacının cihazlarında çalıştırıldığında yürütülmez.
Kaynak: Kırmızı Kanarya
Ayrıca, Cryptobot “%APPDATA%Ramson” varlığını denetler ve klasör yeniden bulaşmayı önlemek için varsa kendi kendini silme yordamını yürütür.
Cryptbot baytlarının belleğe enjeksiyonu işlem oyuklama yöntemiyle gerçekleşirken, kötü amaçlı yazılımın operasyonel özellikleri önceki araştırma bulgularıyla çakışıyor.
Özetle, Cryptbot aşağıdaki uygulamalardan hassas veriler toplayabilir:
- Atomik kripto para cüzdanı
- Avast Secure web tarayıcısı
- Cesur tarayıcı
- Ledger Live kripto para cüzdanı
- Opera Web Tarayıcısı
- Waves Client ve Exchange kripto para uygulamaları
- Coinomi kripto para cüzdanı
- Google Chrome web tarayıcısı
- Jaxx Liberty kripto para cüzdanı
- Electron Cash kripto para cüzdanı
- Electrum kripto para cüzdanı
- Exodus kripto para cüzdanı
- Monero kripto para cüzdanı
- MultiBitHD kripto para cüzdanı
- Mozilla Firefox web tarayıcısı
- CCleaner web tarayıcısı
- Vivaldi web tarayıcısı
Cryptbot’un işlemi diskte şifrelenmemiş ikili dosyaların varlığına dayanmadığından, algılama yalnızca PowerShell komut yürütme veya dış ağ iletişimi gibi kötü amaçlı davranışları izleyerek mümkündür.
Kırmızı Kanarya, tehdit tespiti için aşağıdaki dört önemli noktayı paylaşıyor:
- AutoIT meta verileri içeren ancak dosya adlarında “AutoIT” bulunmayan ikili dosyalar
- Dış ağ bağlantıları oluşturma AutoIT işlemleri
- findstr /V /R “^ … $
- Birlikte rd /s /q, zaman aşımı ve del /f /q içeren PowerShell veya cmd.exe komutları
Özetle, KSMPico’nun gereksiz lisanslama maliyetlerinden tasarruf etmenin akıllı bir yolu olduğunu düşünüyorsanız, yukarıdakiler neden bu kötü bir fikir.
Gerçek şu ki, olaylara müdahale nedeniyle gelir kaybı, fidye yazılımı saldırılarıve korsan yazılım yüklemeden kripto para hırsızlığı m olabilirore gerçek Windows ve Office lisanslarının maliyetinden daha fazladır.