駭侵者利用盜版 Windows、Office 註冊機 KMSpico 夾帶惡意軟體 CryptBot,竊取用戶加密貨幣資產
- 發布單位:TWCERT/CC
- 更新日期:2021-12-07
- 點閱次數:3732
資安廠商發現有駭侵者透過一個名為 KMSpico 的惡意軟體,意圖竊取 Windows 用戶電腦中的加密貨幣資產。
資安廠商 Red Canary 旗下的資安專家,最近發現有駭侵者透過一個名為 KMSpico 的惡意軟體發動大規模攻擊,意圖竊取 Windows 用戶電腦中的加密貨幣資產。
Red Canary 的資安專家指出,KMSpico 入侵 Windows 電腦的方式,是透過破解 Microsoft Windows 與 Office 的授權保護,讓用戶可以免費使用盜版的 Windows 和 Office,以此引誘用戶安裝執行 KMSpico。這種軟體即為俗稱的「註冊機」。
Red Canary 說,他們觀察到不少公司的 IT 人員,不願意購買足額的 Windows 與 Office 授權,反而利用 KMSpico 來非法啟用 Windows 與 Office 給企業內部員工,造成該惡意軟體的大量散布。
KMSpico 主要功能是破解各種軟體的啟動授權限制,但同時夾帶各種廣告軟體或惡意軟體,安裝到想使用盜版軟體的用戶 Windows 電腦中。若用「KMSpico」為關鍵字進行 Google 搜尋,就會看到許多相關連結,都試圖裝扮成 KMSpico 的官方網站,引誘用戶點按下載。
在這次 Red Canary 發現的案例中,駭侵者將加密貨幣相關惡意軟體 Crtpybot 利用 CypherIT 包裝得十分嚴密,再加入 KMSpico 的酬載中,以致多數掃毒軟體不易掃出;接著再執行一段同樣防護嚴密,能在偵測到防毒沙盒環境時自動停止執行的程式碼,以安裝 CryptBot。
用戶的 Windows 一旦感染 CryptBot,該惡意程式就會自各種瀏覽器和加密貨幣錢包中收集用戶的機敏資訊與加密資產資訊,並且自加密貨幣錢包中竊走加密資產。
資安專家表示,個人與公司行號都不應貪圖盜版的小利,使用這類破解工具,反而引狼入室,造成更大的損失。