Os usuários que procuram ativar o Windows sem usar uma licença digital ou uma chave de produto com KMSPico estão sendo direcionados por instaladores contaminados para implantar malware projetado para roubar credenciais e outras informações em carteiras de criptomoedas.
O malware, apelidado de “CryptBot”, é um ladrão de informações capaz de obter credenciais para navegadores, carteiras de criptomoedas, cookies de navegador, cartões de crédito e capturar imagens dos sistemas infectados. Distribuído por meio de software crackeado, o último ataque envolve o malware disfarçado de KMSPico.
O KMSPico é uma ferramenta não oficial usada para ativar ilicitamente todos os recursos de cópias piratas de software, como o Microsoft Windows e o pacote Office, sem realmente possuir uma chave de licença.
“O usuário é infectado clicando em um dos links maliciosos e baixando KMSPico, Cryptbot ou outro malware sem KMSPico”, disse Tony Lambert, pesquisador do Red Canary, em relatório publicado na semana passada. “Os adversários instalam o KMSPico também, porque é isso que a vítima espera que aconteça, ao mesmo tempo em que implantam o Cryptbot nos bastidores.”
A empresa americana de segurança cibernética disse que também observou vários departamentos de TI usando o software ilegítimo em vez de licenças válidas da Microsoft para ativar sistemas, acrescentando que os instaladores KMSpico alterados são distribuídos através de vários sites que afirmam estar oferecendo a versão “oficial” do ativador.
Isso está longe de ser a primeira vez que um software crackeado surgiu como um canal para a implantação de malware. Em junho de 2021, a empresa tcheca de software de segurança cibernética Avast divulgou uma campanha apelidada de “Crackonosh“, que envolvia a distribuição de cópias ilegais de software popular para invadir e abusar das máquinas comprometidas para minerar criptomoeda, gerando para o invasor mais de US $ 2 milhões em lucros.
