Cryptbot Stealer

Cybersicherheitsforscher haben eine neue Angriffskampagne identifiziert, bei der eine Diebstahl-Malware namens Cryptbot Stealer eingesetzt wird. Details zu der drohenden Operation wurden in einem Blog von Red Canary veröffentlicht. Den Erkenntnissen zufolge zielte der Cryptbot Stealer auf Benutzer ab, die illegal gecrackte Softwareprodukte erhalten wollten oder die darauf abzielten, die Urheberrechtslizenzen legitimer Produkte zu umgehen.

Genauer gesagt stellten die Forscher fest, dass die Cryptbot-Bedrohung gefälschte KMSPico-Installationsprogramme verwendet, um die Computer ihrer Opfer zu infiltrieren. Wenn erfolgreich eingesetzt, kann Cryptbot mit der Erfassung sensibler Informationen von kompromittierten Geräten beginnen. Es kann Daten von zahlreichen Webbrowsern sammeln - Opera, Chrome, Firefox, Vivaldi, CCleaner Webbrowser und Brave. Gleichzeitig können die Angreifer auch an die Daten des Opfers gelangen, die in zahlreichen Kryptowährungs-Wallet-Anwendungen wie Atomic, Ledger Live, Coinomi, Electrum, Monero und vielen mehr gespeichert sind.

Die Entscheidung, gefälschte KMSPico-Installer zu verwenden, ist ziemlich genial. Das KMSPico-Tool ist eines der beliebtesten Programme, mit dem Benutzer die kostenpflichtigen Funktionen der meisten Microsoft-Produkte wie Windows und Office aktivieren. Die Anwendung ermöglicht es Benutzern, die legitime Lizenz zu fälschen, die zum Freischalten der Vollversionen der ausgewählten Produkte erforderlich ist, ohne dafür bezahlen zu müssen. Wie der Name schon sagt, nutzt das Tool die legitimen Windows Key Management Services (KMS), die normalerweise von Unternehmen verwendet werden, um einen legitimen KMS-Server zu installieren und dann GPO (Group Policy Objects) für die Clientsysteme zu verwenden, die mit dem Server kommunizieren.

Die Cryptbot-Stealer-Kampagne ist ein weiterer klarer Beweis dafür, dass Menschen, die gecrackte Softwareprodukte erhalten möchten, einem erhöhten Risiko ausgesetzt sind, eine Malware-Infektion zu erleiden.