May 28, 2022
Okuženi Microsoft aktivator — Crack KMSpico
Na svetovnem spletu so se pojavili predelani/okuženi namestitveni programi KMSpico, da bi okužili naprave Windows z zlonamerno programsko opremo, ki nam lahko odtuji kripto denarnice oziroma privatne ključe ali pa s pomočjo okuženega aktivatorja nepridipravi pridobijo nepooblaščen dostop do vašega računalnika.
Te predelane aktivatorje so prvi opazili raziskovalci pri Red Canary, ki opozarjajo, da s piratsko programsko opremo, sicer nelegalno, prihranimo pri stroških licenciranja, vendar se s tem kaj hitro zgodi, da je cena tveganja veliko višja kot je cena licence za Windows oziroma MS Office.
KMSpico je priljubljen nelegalen aktivator izdelkov Microsoft Windows in Office, ki posnema strežnik Windows Key Management Services (KMS) za lažno aktiviranje licenc.
Po mnenju Red Canaryja, je število IT oddelkov in posameznikov, ki uporabljajo KMSpico aktivator namesto legegalnih Microsoftovih licenc za programsko opremo, veliko večje kot bi pričakovali.
Analitik Red Canary Tony Lambert je povedal: “Opazili smo, da vedno več IT oddelkov in posameznikov uporablja KMSpico namesto legalnih Microsoftovih licenc za aktiviranje sistemov. Pravzaprav smo doživeli celo en nesrečen odziv na incident, ko naš partner ni mogel popraviti okolja, ker organizacija ni imela niti ene veljavne licence Windows “.
Okuženi aktivatorji izdelkov
KMSpico se običajno distribuira prek piratske programske opreme in spletnih mest kjer lahko pridobite nelegalno programsko opremo. Orodje zapakirajo v namestitvene programe, ki vsebujejo reklamno in zlonamerno programsko opremo.
Kot lahko vidite spodaj, obstajajo številna spletna mesta, ustvarjena za distribucijo KMSpico, vsa pa enostavno zagotavljajo, da so uradna in povsem varna. To seveda ni res!!
Zlonamerni namestitveni program KMSpico, ki ga analizira RedCanary, je na voljo v zagonski datoteki, kot je 7-Zip, in vsebuje tako dejanski emulator strežnika KMS kot tudi Cryptbot zlonamerno programsko opremo. In prav ta CryptoBot je dodatek, katerega si nihče, ki poseduje kripto valute na svojem računalniku, nikakor ne želi imeti nameščenega.
“Uporabnik se okuži s klikom na eno od zlonamernih povezav in prenese bodisi KMSpico, Cryptbot ali drugo zlonamerno programsko opremo brez KMSpico aktivatorja” pojasnjujejo pri omenjenem podjetju.
“Napadalci največkrat namestijo tudi KMSpico, saj tako žrtev niti ne opazi da se je v zakulisju namestil tudi Cryptbot oziroma drug neželen program.”
Zlonamerna programska oprema je zakrita z CypherIT namestitvenim paketom, ki lepo zakriva namestitveni program in prepreči, da bi ga zaznala anti-virusna programska oprema, oziroma da bi žrtev zaznala, da se kaj sumljivega sploh izvaja. Ta namestitveni program nato zažene skripto, ki je prav tako močno prikrita in je sposobna zaznati peskovnike (sandoboxes) in AV, zato se ne bo izvedla, ko se le ta izvaja na napravah žrtve.
Poleg vseh varovalk Cryptobot preveri prisotnost “%APPDATA%\Ramson” in se ne izvede, če mapa že predhodno obstaja, da prepreči ponovno okužbo in ne delovanje obeh instanc.
To je le hiter opis vseh akcij, ki se izvajajo v ozadju brez vedenja same žrtve. Obstaja več verzij okuženih aktivatorjev in vsak ima svoje posebnosti.
Če povzamemo,… Cryptbot lahko zbira občutljive podatke iz naslednjih aplikacij:
Atomic cryptocurrency wallet
Avast Secure web browser
Brave browser
Ledger Live cryptocurrency wallet
Opera Web Browser
Waves Client and Exchange cryptocurrency applications
Coinomi cryptocurrency wallet
Google Chrome web browser
Jaxx Liberty cryptocurrency wallet
Electron Cash cryptocurrency wallet
Electrum cryptocurrency wallet
Exodus cryptocurrency wallet
Monero cryptocurrency wallet
MultiBitHD cryptocurrency wallet
Mozilla Firefox web browser
CCleaner web browser
Vivaldi web browser
in ostale…
Ker se delovanje Cryptbota ne zanaša na obstoj nešifriranih binarnih datotek na disku, ga je mogoče zaznati le s spremljanjem zlonamernega vedenja, kot je izvajanje ukazov PowerShell ali spremljanje zunanje omrežne komunikacije.
Če povzamemo… Če ste mislili, da je KSMpico pameten način za prihranek pri nepotrebnih stroških licenciranja, zgornje ponazarja, zakaj je to zelo slaba ideja.
Je že res, da so licence lahko za posameznika kar velika naložba, vendar je lahko na drugi strani izguba, ob odtujitvi privatnih ključev kripto denarnic, veliko večja.
Cene licenc za Windows ter Office, so za domače uporabnike malenkost čez 200€ oziroma lahko izberete za O365 tudi z mesečno naročnino, v naših kripto denarnicah pa se pogosto, če ne kar v veliki večini, nahaja večkratnik te številke. Zato naslednjič, ko boste razmišljali o nelegalnem aktiviranju, pomislite kaj vse lahko prinese za sabo prihranek par sto evrov.
V naši skupnosti se je v zadnjem letu pojavilo zelo veliko število primerov takih odtujitev, ko uporabniki niti pomislili niso, da bi bil lahko vzrok kraje ravno ta aktivator. A ob pregledu incidenta je bila prav pri vseh skupna točka KMSpico in temeljit pregled je pokazal, da so imele prav vse žrtve nameščeno Cryptobot programsko opremo. Verjetno ni potrebno dvakrat ugibati s katerim programskim paketom so ga dobili brezplačno, tako kot Windows in Office.
Pred nepridipravi ni varen popolnoma nihče, zato svetujemo, da uporabljate strojne denarnice, kot so LEDGER, TEZOR, BCVault ali kaj podobnega, ter da se izogibate vsem možnim sumljivim programom. Kajti le varna hramba je tista, ki vas lahko zaščiti pred izgubo. Ko so sredstva odtujena vam na žalost nihče oziroma skoraj nihče ne more več pomagati. Le redke izjeme, so v preteklosti prišle nazaj do dela svojih sredstev, pa še to bolj po naključju kot pa kaj drugega.
Članke za blog na spletni strani medium.com pišejo različni člani in skupine posameznikov v Bitcoin društvu Slovenije in ne pomenijo nikakršnih finančnih nasvetov. Vsak ima svoj pogled na samo tehnologijo, bitcoin in obstoječe sisteme. Društvo samo nudi opcijo, da delijo svoj pogled z večjim številom ljudi ter, da dobijo kakšen komentar oziroma odziv na svoje mnenje. Našemu društvu se lahko pridružite na bitcoin.si, telgram skupini oziroma skupini Kriptovalute — Slovenska Blockchain Skupnost — Bitcoin.si na Facebooku.
