河内分分
河内分分

让梦想从这里开始

因为有了梦想,我们才能拥有奋斗的目标,而这些目标凝结成希望的萌芽,在汗水与泪水浇灌下,绽放成功之花。

你的位置:河内分分 > 服务项目 > 恶意KMSPico安装器可窃取加密货币钱包

恶意KMSPico安装器可窃取加密货币钱包

发布日期:2022-04-15 11:33    点击次数:199

攻击者通过传播恶意KMSpico 安装器来感染Windows设备,并窃取加密货币钱包。

KMSpico安装器是一款非常流行的Windows和office产品激活工具,可以模拟Windows密钥管理服务(Key Management Services,KMS)来欺诈性地激活证书。许多IT公司都使用KMSPico激活Windows服务,而不购买合法的微软证书。

近期,Red Canary安全研究人员发现有攻击者通过传播修改的恶意KMSpico安装器来感染Windows设备。

修改的产品激活器

分发的KMSPico中包含广告恶意软件和恶意软件。下图中可以看出,攻击者创建了大量的网站来分发KMSPico,都声称是官方网站。

谷歌搜索KMSPico返回的结果都称是官方网站

RedCanary通过分析发现,恶意KMSPico安装器来自7-zip这样的自提取的可执行文件,其中既包含KMS服务器模拟器,还包括Cryptbot。

用户点击恶意链接,下载KMSPico或者Cryptbot或其他不含KMSPico的恶意软件,就会被感染。安装KMSPico的同时也会同时部署Cryptbot。

恶意软件还被CypherIT打包器封装,混淆安装器来预防被安全软件检测到。然后,安装器会启动一个严重混淆的脚本,该脚本可以检测沙箱和反病毒模拟环境,如果发现就不会执行。

混淆的Cryptbot代码

此外,Cryptobot会检查是否存在%APPDATA%\Ramson,如果文件夹存在就执行自删除过程来预防再次感染。攻击者通过process hollowing方法将Cryptbot字节注入到内存中,恶意软件的其他特征与之前发现的特征有重合。

总的来看, Cryptbot 可以从以下APP中收集敏感信息:

Atomic加密货币钱包 Avast安全web浏览器 Brave浏览器 Ledger Live加密货币钱包 Opera Web浏览器 Waves Client and Exchange加密货币应用 Coinomi加密货币钱包 Google Chrome Web浏览器 Jaxx Liberty加密货币钱包 Electron Cash加密货币钱包 Electrum加密货币钱包 Exodus加密货币钱包 Monero加密货币钱包 MultiBitHD加密货币钱包 Mozilla Firefox Web浏览器 CCleaner Web浏览器 Vivaldi Web浏览器

因为Cryptbot的操作并不依赖硬盘上未加密的二进制文件的存在,只可以通过监控PowerShell命令执行或者外部网络通信等恶意行为监控来实现检测。

完整技术分析参见:https://redcanary.com/wp-content/uploads/2021/12/KMSPico-V5.pdf

本文翻译自:https://www.bleepingcomputer.com/news/security/malicious-kmspico-installers-steal-your-cryptocurrency-wallets/如若转载,请注明原文地址。