Cybersikkerhet advarer alle piratkopierte programvareentusiaster om å passe seg for infeksjonen av Cryptbot. De oppdaget en hendelse der denne infotyveren ble droppet av en falsk KMSPico-installatør. Hackere har brukt forskjellige metoder for å distribuere skadelig programvare. Nylig observerte spesialister utplasseringen via "knakket" programvare, og spesielt trusselaktører forkledde den som KMSPico.
Sammen med dette bruker mange organisasjoner illegitim KMSPico
Mange bruker KMSPico for å aktivere alle funksjonene til Microsoft Windows- og Office-produkter uten en faktisk lisensnøkkel. Normalt vil en organisasjon bruke legitim KMS-lisensiering for å installere en KMS-server på et sentralt sted. Etter dette bruker de gruppepolicyobjekter (GPO) å konfigurere klienter til å kommunisere med den. Dette er en legitim teknologi for lisensiering av Microsoft-produkter på tvers av bedriftsnettverk. Sammen med dette bruker mange organisasjoner illegitim KMSPico som i utgangspunktet emulerer en KMS-server lokalt på det berørte systemet for å aktivere endepunktets lisens. Slike handlinger omgår det bare.
Problemet her og som med all piratkopiert programvare er at noen kan se etter den faktiske KMSPico, men i stedet vil laste ned en slags malware. Tallrike leverandører av anti-malware oppdager programvare for lisensomgåelse som et potensielt uønsket program (kort PUP). Det er derfor KMSPico ofte distribueres med instruksjoner og ansvarsfraskrivelser for å deaktivere anti-malware-produkter før installasjon. Ikke bare i et slikt tilfelle lar brukeren seg åpne for noe mistenkelig, men nedlastingen som ble funnet kan også være en overraskelse. Microsoft støtter kun legitim aktivering på Windows.
Til tross for den produktive tilsløringen, kunne spesialister fortsatt oppdage skadelig programvare
I Cryptbot-distribusjonen observerer spesialister på malware lignende tendenser som Yellow Cockatoo/Jupyter. Yellow Cockatoo er en samling av aktiviteter som innebærer utførelse av en .NET-trojaner for fjerntilgang (ROTTE) som kjører i minnet og slipper andre nyttelaster. Og Jupyter er en infosteler som først og fremst retter seg mot Chrome, Firefox og Chromium nettleserdata. Trusselaktører bruker kryptere, pakkere og unndragelsesmetoder for å hindre signaturbaserte verktøy som YARA-regler og antivirus. Når det gjelder Cryptbot-trussel, brukte aktører CypherIT AutoIT-krypteren for å tilsløre den. Men cybersikkerhetsspesialister sier at til tross for den produktive tilsløringen, kunne de fortsatt oppdage skadelig programvare ved å målrette mot atferd som leverte og deobfuskerte skadelig programvare.
Også spesialisten advare om at Cryptbot-malware samler inn konfidensiell informasjon fra følgende applikasjoner:
