A segurança cibernética avisa todos os entusiastas de software pirata para tomarem cuidado com a infecção do Cryptbot. Eles detectaram um incidente onde este infostealer foi derrubado por um instalador KMSPico falso. Os hackers aplicaram diferentes meios para distribuir o malware. Recentemente, especialistas observaram sua implantação por meio de software "crackeado" e, em particular, os agentes de ameaças disfarçaram-no como KMSPico.
Junto com isso, muitas organizações usam KMSPico ilegítimo
Muitos usam o KMSPico para ativar todos os recursos dos produtos Microsoft Windows e Office sem uma chave de licença real. Normalmente, uma organização usaria licenciamento KMS legítimo para instalar um servidor KMS em um local central. Depois disso, eles usam Objetos de Política de Grupo (GPO) para configurar clientes para se comunicarem com ele. Esta é uma tecnologia legítima de licenciamento de produtos Microsoft em redes corporativas. Junto com isso, muitas organizações usam KMSPico ilegítimo que basicamente emula um servidor KMS localmente no sistema afetado para ativar a licença do terminal. Essas ações apenas o contornam.
O problema aqui e como acontece com todos os softwares piratas é que alguém pode procurar o KMSPico real, mas, em vez disso, fará o download de algum tipo de Malware. Numerosos fornecedores de antimalware detectam software de violação de licença como um programa potencialmente indesejado (filhote de cachorro baixinho). É por isso que o KMSPico é frequentemente distribuído com instruções e isenções de responsabilidade para desativar produtos antimalware antes de instalar. Não apenas nesse caso, o usuário fica aberto a qualquer coisa suspeita, mas o download encontrado também pode ser uma surpresa. A Microsoft oferece suporte apenas para ativação legítima no Windows.
Apesar dos prolíficos especialistas em ofuscação ainda conseguirem detectar o malware
Na distribuição do Cryptbot, os especialistas em malware observam tendências semelhantes às do Yellow Cockatoo / Jupyter. Yellow Cockatoo é uma coleção de atividades que envolve a execução de um trojan de acesso remoto .NET (RATO) que roda na memória e descarta outras cargas úteis. E o Jupyter é um infostealer que visa principalmente o Chrome, Dados do navegador Firefox e Chromium. Os atores da ameaça usam criptografadores, compactadores e métodos de evasão para obstruir ferramentas baseadas em assinatura, como regras YARA e antivírus. No caso do Cryptbot, os agentes de ameaça usaram o criptografador CypherIT AutoIT para ofuscá-lo. Mas os especialistas em segurança cibernética dizem que, apesar da ofuscação prolífica, eles ainda podem detectar o malware, visando comportamentos que entregam e desofuscam o malware.
Além disso o especialista avisar que o malware Cryptbot coleta as informações confidenciais dos seguintes aplicativos: