Cryptbot Stealer

Los investigadores de ciberseguridad han identificado una nueva campaña de ataque que implementa un malware ladrón llamado Cryptbot Stealer. Los detalles sobre la operación amenazadora fueron publicados en un blog de Red Canary. Según sus hallazgos, Cryptbot Stealer estaba dirigido a usuarios que deseaban obtener productos de software pirateados ilegales o aquellos que tenían como objetivo eludir las licencias de derechos de autor de productos legítimos.

Más específicamente, los investigadores notaron que la amenaza Cryptbot usaba instaladores KMSPico falsos para infiltrarse en las computadoras de sus víctimas. Después de serImplementado con éxito, Cryptbot puede comenzar a recolectar información sensible de los dispositivos comprometidos. Puede recopilar datos de numerosos navegadores web: Opera, Chrome, Firefox, Vivaldi, navegadores web CCleaner y Brave. Al mismo tiempo, los atacantes también pueden obtener los datos de la víctima guardados en numerosas aplicaciones de billetera de criptomonedas, como Atomic, Ledger Live, Coinomi, Electrum, Monero y muchas más.

La decisión de utilizar instaladores de KMSPico falsos es bastante ingeniosa. La herramienta KMSPico es uno de los programas más populares que la gente usa para activar las funciones de pago de la mayoría de los productos de Microsoft, como Windows y Office. La aplicación permite a los usuarios falsificar la licencia legítima necesaria para desbloquear las versiones completas de los productos elegidos sin tener que pagar por ellos. Como sugiere su nombre, la herramienta explota los servicios legítimos de administración de claves de Windows (KMS) que normalmente las empresas usarían para instalar un servidor KMS legítimo y luego usar GPO (Objetos de política de grupo) para los sistemas cliente que se comunicarían con el servidor.

La campaña Cryptbot Stealer es otra evidencia clara de que las personas que desean obtener productos de software crackeados enfrentan mayores riesgos de sufrir una infección de malware.