加入收藏 | 设为首页 | 会员中心 | 我要投稿 上饶站长网 (https://www.0793zz.com.cn/)- 数据库平台、视觉智能、智能搜索、决策智能、迁移!
当前位置: 首页 > 服务器 > 安全 > 正文

恶意KMSPico安装器可偷取加密货币钱包

发布时间:2021-12-15 12:24:33 所属栏目:安全 来源:互联网
导读:攻击者通过传播恶意KMSpico 安装器来感染Windows设备,并窃取加密货币钱包。 KMSpico安装器是一款非常流行的Windows和office产品激活工具,可以模拟Windows密钥管理服务(Key Management Services,KMS)来欺诈性地激活证书。许多IT公司都使用KMSPico激活Window
攻击者通过传播恶意KMSpico 安装器来感染Windows设备,并窃取加密货币钱包。
 
KMSpico安装器是一款非常流行的Windows和office产品激活工具,可以模拟Windows密钥管理服务(Key Management Services,KMS)来欺诈性地激活证书。许多IT公司都使用KMSPico激活Windows服务,而不购买合法的微软证书。
 
近期,Red Canary安全研究人员发现有攻击者通过传播修改的恶意KMSpico安装器来感染Windows设备。
 
修改的产品激活器
分发的KMSPico中包含广告恶意软件和恶意软件。下图中可以看出,攻击者创建了大量的网站来分发KMSPico,都声称是官方网站。
此外,Cryptobot会检查是否存在%APPDATA%Ramson,如果文件夹存在就执行自删除过程来预防再次感染。攻击者通过process hollowing方法将Cryptbot字节注入到内存中,恶意软件的其他特征与之前发现的特征有重合。
 
总的来看, Cryptbot 可以从以下APP中收集敏感信息:
 
Atomic加密货币钱包
Avast安全web浏览器
Brave浏览器
Ledger Live加密货币钱包
Opera Web浏览器
Waves Client and Exchange加密货币应用
Coinomi加密货币钱包
Google Chrome Web浏览器
Jaxx Liberty加密货币钱包
Electron Cash加密货币钱包
Electrum加密货币钱包
Exodus加密货币钱包
Monero加密货币钱包
MultiBitHD加密货币钱包
Mozilla Firefox Web浏览器
CCleaner Web浏览器
Vivaldi Web浏览器
因为Cryptbot的操作并不依赖硬盘上未加密的二进制文件的存在,只可以通过监控PowerShell命令执行或者外部网络通信等恶意行为监控来实现检测。

(编辑:上饶站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

    热点阅读