Cybersikkerhed advarer alle piratkopierede softwareentusiaster om at passe på infektionen af Cryptbot. De opdagede en hændelse, hvor denne infostealer blev droppet af en falsk KMSPico-installatør. Hackere har brugt forskellige metoder til at distribuere malwaren. For nylig observerede specialister dets udrulning via "krakket" software, og især trusselsaktører forklædte det som KMSPico.
Sammen med dette bruger mange organisationer illegitime KMSPico
Mange bruger KMSPico for at aktivere alle funktionerne i Microsoft Windows og Office-produkter uden en egentlig licensnøgle. Normalt ville en organisation bruge legitime KMS-licenser til at installere en KMS-server på en central placering. Herefter bruger de gruppepolitikobjekter (GPO) at konfigurere klienter til at kommunikere med det. Dette er en legitim teknologi til licensering af Microsoft-produkter på tværs af virksomhedsnetværk. Sammen med dette bruger mange organisationer illegitim KMSPico, der grundlæggende emulerer en KMS-server lokalt på det berørte system for at aktivere slutpunktets licens. Sådanne handlinger omgår det bare.
Problemet her og som med al piratkopieret software er, at nogen måske leder efter den faktiske KMSPico, men i stedet vil downloade en form for Malware. Talrige leverandører af anti-malware opdager software til omgåelse af licenser som et potentielt uønsket program (kort HVALP). Det er derfor, KMSPico ofte distribueres med instruktioner og ansvarsfraskrivelser for at deaktivere anti-malware-produkter før installation. Ikke kun i et sådant tilfælde lader brugeren sig åbne over for noget mistænkeligt, men den fundne download kan også være en overraskelse. Microsoft understøtter kun lovlig aktivering på Windows.
På trods af den produktive sløring kunne specialister stadig opdage malwaren
I Cryptbot-distributionen observerer malware-specialister lignende tendenser som Yellow Cockatoo/Jupyter. Yellow Cockatoo er en samling af aktiviteter, der indebærer udførelse af en .NET-fjernadgangstrojan (ROTTE) som kører i hukommelsen og taber andre nyttelaster. Og Jupyter er en infostealer, der primært er rettet mod Chrome, Firefox og Chromium browserdata. Trusselsaktører bruger kryptere, pakkere og unddragelsesmetoder til at blokere signaturbaserede værktøjer såsom YARA-regler og antivirus. I tilfælde af Cryptbot-trussel brugte aktører CypherIT AutoIT-krypteringsprogrammet til at sløre det. Men cybersikkerhedsspecialister siger, at på trods af den produktive sløring kunne de stadig opdage malwaren ved at målrette mod adfærd, der leverede og deobfuscerede malwaren.
også specialisten advare om, at Cryptbot-malwaren indsamler de fortrolige oplysninger fra følgende applikationer: