Хакеры занимаются распространением преобразованных установщиков, при этом заражая ПК, работающие на ОС Windows вирусным ПО. Последнее ворует информацию криптокошельков. В Red Canary предупреждают, что источником проблемы выступают пиратские программы, поэтому лучше их не скачивать.
KMSPico – это активатор, предназначенный для продуктов Microsoft. Он обязан эмулировать KMS и делать активной поддельную лицензию.
Согласно информации Red Canary, немало IT-отделов, чтобы активировать системы, используют не сертифицированный софт, а упомянутый активатор. В связи с этим простым пользователям, как и сисадминам, следует учесть риски, связанные с загрузкой пиратских программ.
Находится KMSPico на ресурсах специальной тематики. Люди, которые его выкладывают, в основном снабжают такие ПО вирусами и адваре. Распространением активатора занимаются много ресурсов, каждый из которых позиционирует себя, как официальный источник.
Специалисты Red Canary обнаружили вирусный инсталлятор, содержащий 7-Zip (архив, способный самораспаковываться). В нем был и серверный эмулятор, и вредоносное ПО Cryptbot. Киберпреступники использовали CypherIT, упаковщик, помогающий инсталлятору находиться в тени, быть невидимым для антивируса.
Кроме того, у него есть скрипт для обнаружения сред виртуального характера и песочниц. Cryptobot занимается и проверкой присутствия %APPDATA%\Ramson. Также, при наличии папки на ПК жертвы он активирует самоуничтожение.
Сбор сведений происходит из криптокошельков и браузеров.
Криптокошельки:
- Atomic;
- Ledger Live;
- Coinomi и другие;
- блокчейн-приложение Waves Client и Exchange.
Браузеры:
- Avast Secure;
- Brave;
- Opera и прочие.