恶意KMSPico安装器可偷取加密货币钱包
发布时间:2021-12-15 15:53:37 所属栏目:安全 来源:互联网
导读:攻击者通过传播恶意KMSpico 安装器来感染Windows设备,并窃取加密货币钱包。 KMSpico安装器是一款非常流行的Windows和office产品激活工具,可以模拟Windows密钥管理服务(Key Management Services,KMS)来欺诈性地激活证书。许多IT公司都使用KMSPico激活Wind
|
攻击者通过传播恶意KMSpico 安装器来感染Windows设备,并窃取加密货币钱包。 KMSpico安装器是一款非常流行的Windows和office产品激活工具,可以模拟Windows密钥管理服务(Key Management Services,KMS)来欺诈性地激活证书。许多IT公司都使用KMSPico激活Windows服务,而不购买合法的微软证书。 近期,Red Canary安全研究人员发现有攻击者通过传播修改的恶意KMSpico安装器来感染Windows设备。 修改的产品激活器 分发的KMSPico中包含广告恶意软件和恶意软件。下图中可以看出,攻击者创建了大量的网站来分发KMSPico,都声称是官方网站。 此外,Cryptobot会检查是否存在%APPDATA%Ramson,如果文件夹存在就执行自删除过程来预防再次感染。攻击者通过process hollowing方法将Cryptbot字节注入到内存中,恶意软件的其他特征与之前发现的特征有重合。 总的来看, Cryptbot 可以从以下APP中收集敏感信息: Atomic加密货币钱包 Avast安全web浏览器 Brave浏览器 Ledger Live加密货币钱包 Opera Web浏览器 Waves Client and Exchange加密货币应用 Coinomi加密货币钱包 Google Chrome Web浏览器 Jaxx Liberty加密货币钱包 Electron Cash加密货币钱包 Electrum加密货币钱包 Exodus加密货币钱包 Monero加密货币钱包 MultiBitHD加密货币钱包 Mozilla Firefox Web浏览器 CCleaner Web浏览器 Vivaldi Web浏览器 因为Cryptbot的操作并不依赖硬盘上未加密的二进制文件的存在,只可以通过监控PowerShell命令执行或者外部网络通信等恶意行为监控来实现检测。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号