Cryptbot Stealer

Cryptbot Stealerという名前のスティーラーマルウェアを展開する新しい攻撃キャンペーンが、サイバーセキュリティ研究者によって特定されました。脅迫作戦の詳細は、RedCanaryのブログで公開されました。その調査結果によると、Cryptbot Stealerは、違法なクラッキングされたソフトウェア製品を入手したいユーザー、または合法的な製品の著作権ライセンスを回避することを目的としたユーザーを対象としていました。

より具体的には、研究者たちは、Cryptbotの脅威が偽のKMSPicoインストーラーを使用して被害者のコンピューターに侵入していることに気づきました。された後正常に展開されると、Cryptbotは侵害されたデバイスからさまざまな機密情報の収集を開始できます。 Opera、Chrome、Firefox、Vivaldi、CCleaner Webブラウザ、Braveなどの多数のWebブラウザからデータを収集できます。同時に、攻撃者は、Atomic、Ledger Live、Coinomi、Electrum、Moneroなどの多数の暗号通貨ウォレットアプリケーションに保存されている被害者のデータを取得することもできます。

偽のKMSPicoインストーラーを使用するという決定は非常に独創的です。 KMSPicoツールは、WindowsやOfficeなどのほとんどのMicrosoft製品の有料機能をアクティブ化するために人々が使用する最も人気のあるプログラムの1つです。このアプリケーションを使用すると、ユーザーは、選択した製品のフルバージョンのロックを解除するために必要な正当なライセンスを、料金を支払うことなく偽装できます。その名前が示すように、このツールは、企業が正規のKMSサーバーをインストールし、サーバーと通信するクライアントシステムにGPO（グループポリシーオブジェクト）を使用するために通常使用する正規のWindowsキー管理サービス（KMS）を利用します。

Cryptbot Stealerキャンペーンは、クラックされたソフトウェア製品を入手したい人々がマルウェア感染に苦しむリスクの増加に直面していることを示すもう1つの明確な証拠です。