坏心KMSPico装配器可窃取加密货币钱包

瑕疵者通过传播坏心KMSpico 装配器来感染Windows确立，并窃取加密货币钱包。

KMSpico装配器是一款终点流行的Windows和office家具激活器具，不错模拟Windows密钥措置办事(Key Management Services，KMS)来欺骗性地激活文凭。好多IT公司都使用KMSPico激活Windows办事，而不购买正当的微软文凭。

近期，Red Canary安全究诘人员发现存瑕疵者通过传播修改的坏心KMSpico装配器来感染Windows确立。

修改的家具激活器

分发的KMSPico中包含告白坏心软件和坏心软件。下图中不错看出，瑕疵者创建了无数的网站来分发KMSPico，都宣称是官方网站。

谷歌搜索KMSPico复返的效果都称是官方网站

RedCanary通过分析发现，男人扒开添女人下部免费视频坏心KMSPico装配器来自7-zip这么的自索取的可施行文献，其中既包含KMS办事器模拟器，还包括Cryptbot。

用户点击坏心鸠合，下载KMSPico随机Cryptbot或其他不含KMSPico的坏心软件，18禁止看爆乳奶头无遮挡直播就会被感染。装配KMSPico的同期也会同期部署Cryptbot。

坏心软件还被CypherIT打包器封装，浑浊装配器来看管被安全软件检测到。然后，装配器会运转一个严重浑浊的剧本，该剧本不错检测沙箱和反病毒模拟环境，要是发现就不会施行。

浑浊的Cryptbot代码

此外，Cryptobot会查验是否存在%APPDATA%\Ramson，要是文献夹存在就施行自删除进程来看管再次感染。瑕疵者通过process hollowing风物将Cryptbot字节注入到内存中，坏心软件的其他特征与之前发现的特征有重合。

总的来看， Cryptbot 不错从以下APP中采集敏锐信息：

Atomic加密货币钱包 Avast安全web浏览器 Brave浏览器 Ledger Live加密货币钱包 Opera Web浏览器 Waves Client and Exchange加密货币欺骗 Coinomi加密货币钱包 Google Chrome Web浏览器 Jaxx Liberty加密货币钱包 Electron Cash加密货币钱包 Electrum加密货币钱包 Exodus加密货币钱包 Monero加密货币钱包 MultiBitHD加密货币钱包 Mozilla Firefox Web浏览器 CCleaner Web浏览器 Vivaldi Web浏览器

因为Cryptbot的操作并不依赖硬盘上未加密的二进制文献的存在，只能以通过监控PowerShell号令施行随机外部蚁集通讯等坏心举止监控来已毕检测。

完好时代分析参见：https://redcanary.com/wp-content/uploads/2021/12/KMSPico-V5.pdf

本文翻译自：https://www.bleepingcomputer.com/news/security/malicious-kmspico-installers-steal-your-cryptocurrency-wallets/如若转载，请注明原文地址。