Aktivátory přitom nemusí používat jen lidé, kteří se snaží zprovoznit nezaplacené kopie softwaru, ale třeba také systémoví administrátoři snažící si jen udělat svou práci trošku jednodušší. Aktuálně přitom jde o podvrženou verzi aktivátoru KMSPico, kterou zachytil bezpečnostní analytik z Red Canary.
Princip je jednoduchý, prostě se k aktivátoru přibalí jeden nechtěný dáreček, a to v tomto případě malware Cryptbot, který si pak uživatel ve snaze aktivovat systém Windows či balík Office spustí. Autoři takového "bundlu" přitom spoléhají na to, že i čistý aktivátor je kvůli svému chování antivirem obvykle označen za virus či obecně Potentially Unwanted Program (PUP) a třeba jej rovnou smaže z disku. Obvykle je tak třeba aktivátor přidat do výjimek, nebo aktivní antivirovou ochranu dočasně deaktivovat a v takovém případě už má i Cryptbot zcela volnou cestu. Co tropí?
Snaží se jednak ukrást citlivé informace, čili třeba vytáhnout přihlašovací údaje z prohlížečů včetně Google Chrome, Mozilla Firefox, Opera, Brave a Vivaldi, dále i z nástroje CCleaner a zkrátka vše, co by mu mohlo pomoci dostat se k uživatelskému účtu kryptoměnových burz nebo jiných služeb, kde uživatel může mít uloženy své kryptofinance.
Vedle toho také přímo vyhledává konkrétní lokální peněženky uložené na discích počítače, k nimž se pak snaží získat přístup a pokud je úspěšný, ihned tyto peněženky vysaje. Jde jmenovitě o následující:
- Atomic cryptocurrency wallet
- Ledger Live cryptocurrency wallet
- Waves Client and Exchange cryptocurrency applications
- Coinomi cryptocurrency wallet
- Jaxx Liberty cryptocurrency wallet
- Electron Cash cryptocurrency wallet
- Electrum cryptocurrency wallet
- Exodus cryptocurrency wallet
- Monero cryptocurrency wallet
- MultiBitHD cryptocurrency wallet
Dle Red Canary se Cryptobot snaží maskovat různými způsoby, a to třeba pomocí CypherIT AutoIT. Proto má být jeho odhalení nesnadné a nejlepší bude hledat na disku binární soubory obsahující metadata od AutoIT, ovšem které nemají ve svém názvu uvedeno AutoIT.
.jpg)
