В активаторе KMSPico для пиратской Windows обнаружен вирус, крадущий криптовалюту

Компания по кибербезопасности Red Canary дала рекомендации по выявлению Cryptbot

10.12.2021 - 12:10

450

1 мин

Что произошло? В программе KMSPico для активации Microsoft Windows и Office был обнаружен вирус, который собирает персональные данные пользователей. Злоумышленники используют вирус Cryptbot в том числе и для кражи криптовалюты, сообщает компания по кибербезопасности Red Canary.

Статья Red Canary

Как работает вирус? Cryptbot существует уже долгое время, теперь хакеры стали маскировать его под установщик активатора KMSPico. При нажатии на ссылку скачивания, пользователь загружает вирус, и параллельно программа устанавливает сам активатор. Злоумышленники маскируют Cryptbot программой-шифровальщиком CypherIT AutoIT. Вирус крадет личные данные из веб-браузеров, антивирусов и криптокошельков пользователей.

Как обнаружить вредоносное ПО? Red Canary рекомендует искать двоичные файлы, содержащие метаданные AutoIT, но не содержащие AutoIT в именах файлов: команды findstr, похожие на «findstr /V /R "^ … $».

Для поиска Cryptbot используются команды PowerShell или cmd.exe, содержащие «rd /s /q, timeout, и del /f /q together».

Автор: