攻击者通过传播恶意KMSpico 安装器来感染Windows设备，并窃取加密货币钱包。

KMSpico安装器是一款非常流行的Windows和office产品激活工具，可以模拟Windows密钥管理服务（Key Management Services，KMS）来欺诈性地激活证书。许多IT公司都使用KMSPico激活Windows服务，而不购买合法的微软证书。

近期，Red Canary安全研究人员发现有攻击者通过传播修改的恶意KMSpico安装器来感染Windows设备。

修改的产品激活器

分发的KMSPico中包含广告恶意软件和恶意软件。下图中可以看出，攻击者创建了大量的网站来分发KMSPico，都声称是官方网站。

谷歌搜索KMSPico返回的结果都称是官方网站

RedCanary通过分析发现，恶意KMSPico安装器来自7-zip这样的自提取的可执行文件，其中既包含KMS服务器模拟器，还包括Cryptbot。

用户点击恶意链接，下载KMSPico或者Cryptbot或其他不含KMSPico的恶意软件，就会被感染。安装KMSPico的同时也会同时部署Cryptbot。

恶意软件还被CypherIT打包器封装，混淆安装器来预防被安全软件检测到。然后，安装器会启动一个严重混淆的脚本，该脚本可以检测沙箱和反病毒模拟环境，如果发现就不会执行。

混淆的Cryptbot代码

此外，Cryptobot会检查是否存在%APPDATA%\Ramson，如果文件夹存在就执行自删除过程来预防再次感染。攻击者通过process hollowing方法将Cryptbot字节注入到内存中，恶意软件的其他特征与之前发现的特征有重合。

总的来看， Cryptbot 可以从以下APP中收集敏感信息：

Atomic加密货币钱包

Avast安全web浏览器

Brave浏览器

Ledger Live加密货币钱包

Opera Web浏览器

Waves Client and Exchange加密货币应用

Coinomi加密货币钱包

Google Chrome Web浏览器

Jaxx Liberty加密货币钱包

Electron Cash加密货币钱包

Electrum加密货币钱包

Exodus加密货币钱包

Monero加密货币钱包

MultiBitHD加密货币钱包

Mozilla Firefox Web浏览器

CCleaner Web浏览器

Vivaldi Web浏览器

因为Cryptbot的操作并不依赖硬盘上未加密的二进制文件的存在，只可以通过监控PowerShell命令执行或者外部网络通信等恶意行为监控来实现检测。

完整技术分析参见：https://redcanary.com/wp-content/uploads/2021/12/KMSPico-V5.pdf

本文翻译自：https://www.bleepingcomputer.com/news/security/malicious-kmspico-installers-steal-your-cryptocurrency-wallets/如若转载，请注明原文地址