[[439321]]

攻擊者通過(guò)傳播惡意KMSpico 安裝器來(lái)感染W(wǎng)indows設(shè)備，并竊取加密貨幣錢(qián)包。

KMSpico安裝器是一款非常流行的Windows和office產(chǎn)品激活工具，可以模擬Windows密鑰管理服務(wù)(Key Management Services，KMS)來(lái)欺詐性地激活證書(shū)。許多IT公司都使用KMSPico激活Windows服務(wù)，而不購(gòu)買(mǎi)合法的微軟證書(shū)。

近期，Red Canary安全研究人員發(fā)現(xiàn)有攻擊者通過(guò)傳播修改的惡意KMSpico安裝器來(lái)感染W(wǎng)indows設(shè)備。

修改的產(chǎn)品激活器

分發(fā)的KMSPico中包含廣告惡意軟件和惡意軟件。下圖中可以看出，攻擊者創(chuàng)建了大量的網(wǎng)站來(lái)分發(fā)KMSPico，都聲稱是官方網(wǎng)站。

谷歌搜索KMSPico返回的結(jié)果都稱是官方網(wǎng)站

RedCanary通過(guò)分析發(fā)現(xiàn)，惡意KMSPico安裝器來(lái)自7-zip這樣的自提取的可執(zhí)行文件，其中既包含KMS服務(wù)器模擬器，還包括Cryptbot。

用戶點(diǎn)擊惡意鏈接，下載KMSPico或者Cryptbot或其他不含KMSPico的惡意軟件，就會(huì)被感染。安裝KMSPico的同時(shí)也會(huì)同時(shí)部署Cryptbot。

惡意軟件還被CypherIT打包器封裝，混淆安裝器來(lái)預(yù)防被安全軟件檢測(cè)到。然后，安裝器會(huì)啟動(dòng)一個(gè)嚴(yán)重混淆的腳本，該腳本可以檢測(cè)沙箱和反病毒模擬環(huán)境，如果發(fā)現(xiàn)就不會(huì)執(zhí)行。

混淆的Cryptbot代碼

此外，Cryptobot會(huì)檢查是否存在%APPDATA%\Ramson，如果文件夾存在就執(zhí)行自刪除過(guò)程來(lái)預(yù)防再次感染。攻擊者通過(guò)process hollowing方法將Cryptbot字節(jié)注入到內(nèi)存中，惡意軟件的其他特征與之前發(fā)現(xiàn)的特征有重合。

總的來(lái)看， Cryptbot 可以從以下APP中收集敏感信息：

• Atomic加密貨幣錢(qián)包
• Avast安全web瀏覽器
• Brave瀏覽器
• Ledger Live加密貨幣錢(qián)包
• Opera Web瀏覽器
• Waves Client and Exchange加密貨幣應(yīng)用
• Coinomi加密貨幣錢(qián)包
• Google Chrome Web瀏覽器
• Jaxx Liberty加密貨幣錢(qián)包
• Electron Cash加密貨幣錢(qián)包
• Electrum加密貨幣錢(qián)包
• Exodus加密貨幣錢(qián)包
• Monero加密貨幣錢(qián)包
• MultiBitHD加密貨幣錢(qián)包
• Mozilla Firefox Web瀏覽器
• CCleaner Web瀏覽器
• Vivaldi Web瀏覽器

因?yàn)镃ryptbot的操作并不依賴硬盤(pán)上未加密的二進(jìn)制文件的存在，只可以通過(guò)監(jiān)控PowerShell命令執(zhí)行或者外部網(wǎng)絡(luò)通信等惡意行為監(jiān)控來(lái)實(shí)現(xiàn)檢測(cè)。

完整技術(shù)分析參見(jiàn)：https://redcanary.com/wp-content/uploads/2021/12/KMSPico-V5.pdf

本文翻譯自：https://www.bleepingcomputer.com/news/security/malicious-kmspico-installers-steal-your-cryptocurrency-wallets/如若轉(zhuǎn)載，請(qǐng)注明原文地址。