Cyberbeveiliging waarschuwt alle liefhebbers van illegale software om op te passen voor de infectie van Cryptbot. Ze ontdekten een incident waarbij deze infostealer werd gedropt door een nep-KMSPico-installatieprogramma. Hackers hebben verschillende middelen toegepast om de malware te verspreiden. Onlangs observeerden specialisten de implementatie ervan via "gekraakte" software en met name bedreigingsactoren vermomden het als KMSPico.
Daarnaast gebruiken veel organisaties onwettige KMSPico
Velen gebruiken KMSPico om de volledige functies van Microsoft Windows- en Office-producten te activeren zonder een daadwerkelijke licentiesleutel. Normaal gesproken zou een organisatie legitieme KMS-licenties gebruiken om een KMS-server op een centrale locatie te installeren. Hierna gebruiken ze Groepsbeleidsobjecten (GPO) om clients te configureren om ermee te communiceren. Dit is een legitieme technologie voor het licentiëren van Microsoft-producten via bedrijfsnetwerken. Daarnaast gebruiken veel organisaties onwettig KMSPico dat in feite een KMS-server lokaal op het getroffen systeem emuleert om de licentie van het eindpunt te activeren. Dergelijke acties omzeilen het gewoon.
Het probleem hier en zoals met alle illegale software is dat iemand misschien naar de werkelijke KMSPico zoekt, maar in plaats daarvan een soort van malware. Talloze leveranciers van anti-malware detecteren software voor het omzeilen van licenties als een mogelijk ongewenst programma (korte PUP). Dat is de reden waarom KMSPico vaak wordt verspreid met instructies en disclaimers om anti-malwareproducten te deactiveren voordat ze worden geïnstalleerd. Niet alleen in zo'n geval stelt de gebruiker zichzelf open voor iets verdachts, maar de gevonden download kan ook een verrassing zijn. Microsoft ondersteunt alleen legitieme activering op Windows.
Ondanks de overvloedige verduistering konden specialisten de malware nog steeds detecteren
In de Cryptbot-distributie zien malwarespecialisten soortgelijke tendensen als die van Yellow Cockatoo/Jupyter. Yellow Cockatoo is een verzameling activiteiten waarbij een .NET-trojan voor externe toegang wordt uitgevoerd (RAT) die in het geheugen draait en andere payloads laat vallen. En Jupyter is een infostealer die zich voornamelijk richt op Chrome, Firefox- en Chromium-browsergegevens. Bedreigingsactoren gebruiken crypters, packers en ontwijkingsmethoden om op handtekeningen gebaseerde tools zoals YARA-regels en antivirus te belemmeren. In het geval van Cryptbot gebruikten dreigingsactoren de CypherIT AutoIT-crypter om het te verdoezelen. Maar cyberbeveiligingsspecialisten zeggen dat ze ondanks de overvloedige verduistering de malware nog steeds konden detecteren door zich te richten op gedragingen die de malware afleverden en onschadelijk maakten.
Ook de specialist waarschuw dat de Cryptbot-malware de vertrouwelijke informatie van de volgende toepassingen verzamelt::
