恶意KMSPico安装器可窃取加密货币钱包

攻击者通过传播恶意KMSpico 安装器来感染Windows设备，并窃取加密货币钱包。

KMSpico安装器是一款非常流行的Windows和office产品激活工具，可以模拟Windows密钥管理服务(Key Management Services，KMS)来欺诈性地激活证书。许多IT公司都使用KMSPico激活Windows服务，而不购买合法的微软证书。

近期，Red Canary安全研究人员发现有攻击者通过传播修改的恶意KMSpico安装器来感染Windows设备。

修改的产品激活器

分发的KMSPico中包含广告恶意软件和恶意软件。下图中可以看出，攻击者创建了大量的网站来分发KMSPico，都声称是官方网站。

谷歌搜索KMSPico返回的结果都称是官方网站

RedCanary通过分析发现，恶意KMSPico安装器来自7-zip这样的自提取的可执行文件，其中既包含KMS服务器模拟器，还包括Cryptbot。

用户点击恶意链接，下载KMSPico或者Cryptbot或其他不含KMSPico的恶意软件，就会被感染。安装KMSPico的同时也会同时部署Cryptbot。

恶意软件还被CypherIT打包器封装，混淆安装器来预防被安全软件检测到。然后，安装器会启动一个严重混淆的脚本，该脚本可以检测沙箱和反病毒模拟环境，如果发现就不会执行。

混淆的Cryptbot代码

此外，Cryptobot会检查是否存在%APPDATA%\Ramson，如果文件夹存在就执行自删除过程来预防再次感染。攻击者通过process hollowing方法将Cryptbot字节注入到内存中，恶意软件的其他特征与之前发现的特征有重合。

总的来看， Cryptbot 可以从以下APP中收集敏感信息：

• Atomic加密货币钱包
• Avast安全web浏览器
• Brave浏览器
• Ledger Live加密货币钱包
• Opera Web浏览器
• Waves Client and Exchange加密货币应用
• Coinomi加密货币钱包
• Google Chrome Web浏览器
• Jaxx Liberty加密货币钱包
• Electron Cash加密货币钱包
• Electrum加密货币钱包
• Exodus加密货币钱包
• Monero加密货币钱包
• MultiBitHD加密货币钱包
• Mozilla Firefox Web浏览器
• CCleaner Web浏览器
• Vivaldi Web浏览器

因为Cryptbot的操作并不依赖硬盘上未加密的二进制文件的存在，只可以通过监控PowerShell命令执行或者外部网络通信等恶意行为监控来实现检测。

完整技术分析参见：https://redcanary.com/wp-content/uploads/2021/12/KMSPico-V5.pdf

本文翻