Hackerlar , kripto para cüzdanlarını çalan kötü amaçlı yazılımları bulaştırmak için değiştirilmiş KMSpico yükleyicilerini dağıtmaya başladı, Olay , korsan yazılımların lisans maliyetlerinden tasarruf etmek için bu riske değmeyeceği konusunda uyaran Red Canary'deki araştırmacılar tarafından fark edildi.
KMSPico, lisansları hileli bir şekilde etkinleştirmek için bir Windows Anahtar Yönetim Hizmetleri (KMS) sunucusunu taklit eden popüler bir Microsoft Windows ve Office ürün etkinleştiricisidir. Red Canary'ye göre, meşru Microsoft yazılım lisansları yerine KMSPico kullanan BT departmanı sayısı sanılandan çok daha fazla. Red Canary istihbarat analisti Tony Lambert, "Sistemleri etkinleştirmek için meşru Microsoft lisansları yerine KMSPico'yu kullanan birkaç BT departmanı ortaya çıkarttık" dedi.
KMSPico genellikle korsan yazılımlar aracılığıyla dağıtılır ve yazılıma kötü amaçlı yazılım içeren yükleyiciler ekleyen siteler mevcut. Aşağıda görebileceğiniz gibi, hepsi resmi site olduğunu iddia eden KMSPico'yu dağıtmak için oluşturulmuş çok sayıda site var.
RedCanary tarafından analiz edilen kötü niyetli bir KMSPico yükleyicisi, 7-Zip gibi kendi kendine açılan bir yürütülebilir dosyada gelir ve hem gerçek bir KMS sunucu öykünücüsü hem de Cryptbot içerir. Kullanıcı, kötü amaçlı bağlantılardan birine tıklayarak KMSPico, Cryptbot veya başka bir kötü amaçlı yazılımı KMSPico sanarak indirir ve virüs sistemine bulaşır, aynı anda Cryptbot'u geri planda çalışacak şekilde kurar. iş bununla da kalmaz.
Kötü amaçlı yazılım, güvenlik yazılımı tarafından algılanmasını önlemek için yükleyiciyi gizleyen CypherIT paketleyicisi tarafından sarılır.
Ayrıca, Cryptobot "%APPDATA%\Ramson" varlığını kontrol eder ve klasör varsa kendi kendini silme rutinini yürütür. Cryptbot baytlarının belleğe enjeksiyonu, işlemin boşaltılması yöntemiyle gerçekleşirken, kötü amaçlı yazılımın operasyonel özellikleri önceki araştırma bulgularıyla örtüşür.
Özetle, Cryptbot aşağıdaki uygulamalardan hassas verileri toplama yeteneğine sahiptir:
Atomik kripto para cüzdanı
Avast Güvenli web tarayıcısı
cesur tarayıcı
Ledger Live kripto para cüzdanı
Opera Web Tarayıcısı
Waves Client ve Exchange kripto para birimi uygulamaları
Coinomi kripto para cüzdanı
Google Chrome web tarayıcısı
Jaxx Liberty kripto para cüzdanı
Electron Cash kripto para cüzdanı
Electrum kripto para cüzdanı
Exodus kripto para cüzdanı
Monero kripto para cüzdanı
MultiBitHD kripto para cüzdanı
Mozilla Firefox web tarayıcısı
CCleaner web tarayıcısı
Vivaldi web tarayıcısı
Cryptbot'un çalışması diskte şifrelenmemiş ikili dosyaların varlığına bağlı olmadığından, bunu algılamak yalnızca PowerShell komut yürütmesi veya harici ağ iletişimi gibi kötü amaçlı davranışların izlenmesiyle mümkündür.
Red Canary, tehdit tespiti için aşağıdaki dört önemli noktayı paylaşır:
AutoIT meta verilerini içeren ancak dosya adlarında "AutoIT" bulunmayan ikili dosyalar
Harici ağ bağlantıları yapan AutoIT süreçleri
findstr /V /R "^ … $ ile benzer findstr komutları
Birlikte rd /s /q, zaman aşımı ve del /f /q içeren PowerShell veya cmd.exe komutları
Özetle, KSMPico'nun gereksiz lisans maliyetlerinden tasarruf etmenin akıllı bir yolu olduğunu düşünüyorsanız, yukarıdakiler bunun neden kötü bir fikir olduğunu gösteriyor .
Gerçek şu ki, korsan yazılım yüklemekten kaynaklanan olay yanıtı, fidye yazılımı saldırıları ve kripto para birimi hırsızlığı nedeniyle gelir kaybı , gerçek Windows ve Office lisanslarının maliyetinden daha fazla olabilir.
Kaynak:
https://www.bleepingcomputer.com/news/s ... y-wallets/
https://www.techspot.com/news/92509-hac ... rency.html
Hangi site orjinal kmspico