Theo Neowin, nhà cung cấp bảo mật mạng Red Canary đã cảnh báo trong một bài đăng blog gần đây rằng một trình cài đặt KMSPico độc hại đang được lan tràn trên không gian mạng.
Trình cài đặt giả mạo mang phần mềm độc hại này có khả năng đánh cắp thông tin người dùng từ các ví tiền điện tử khác nhau cùng nhiều thứ khác. Điều này có thể thực hiện thông qua phần mềm Cryptbot.
CryptBot được lây lan qua nhiều phương thức, trong đó KMSPico là một trong những phương thức phổ biến thời gian gần đây. KMSPico là công cụ kích hoạt Windows để dùng lậu, thay vì mua bản quyền từ Microsoft.
Cần nhấn mạnh rằng với tư cách là một công cụ kích hoạt phần mềm lậu, bản thân KMSPico không có trang web chính thức.
Một số trong số những trang web được gọi là "chính thức" này cung cấp các bản cài đặt có chứa virus và một số có thể chỉ được sử dụng để thêm quảng cáo. Người dùng thực sự khó tìm được bản gốc.
Ngoài ra, trình kích hoạt này cũng có thể được sử dụng bởi người dùng doanh nghiệp. Nếu nó được sử dụng bởi người dùng của công ty, nó cũng có thể khiến các thiết bị khác trong mạng nội bộ của công ty bị nhiễm virus.
Theo báo cáo của công ty bảo mật Red Canary, công cụ CryptBot được phát hiện ẩn trong nhiều bộ phần mềm KMSPico trên Internet. CryptBot khi được cài vào máy có thể thu thập thông tin của hàng loạt ví tiền điện tử như Electrum, Monero, Exodus... và các trình duyệt như Chrome, Firefox, Opera. Nếu có được thông tin truy cập, hacker có thể chiếm quyền điều khiển của ví, từ đó đánh cắp tiền điện tử của người dùng.
Công cụ này đang được chia sẻ tràn lan trên Internet. Khi tìm kiếm với từ khóa "kmspico", người dùng nhận về hàng triệu kết quả. Tuy nhiên trong đó, nhiều trang web chia sẻ các phần mềm giả mạo và chứa mã độc nguy hiểm. Các nhà nghiên cứu cho biết, trong một số trường hợp, CryptBot được đổi tên để giả làm KMSPico dụ người dùng tải về. Một số trường hợp khác, CryptBot ẩn trong file KMSPico và âm thầm cài được lên máy mà nạn nhân không hay biết.
Khi phân tích CryptBot, các nhà nghiên cứu nhận thấy mã độc này được thiết kế tinh vi để tránh sự phát hiện của chương trình diệt virus. Thậm chí, chúng có thể nhận biết môi trường giả lập trên máy tính của các nhà nghiên cứu để ẩn mình. Họ chỉ phát hiện được mã độc khi chúng thực hiện lệnh PowerShell hoặc kết nối mạng ra bên ngoài.
Các chuyên gia khuyến cáo, người dùng nên dùng các phiên bản Windows bản quyền để được cập nhật liên tục và tránh các mã độc được cài từ nhiều nguồn khác nhau khi cài đặt phần mềm từ các nguồn không rõ ràng. Bởi khi bị hacker tấn công, giá trị số tiền điện tử mất đi thường sẽ rất lớn, gây thiệt hại nghiêm trọng cho người dùng.
Red Canary nói rằng cryptbot được phân phối bởi phần mềm độc hại này có khả năng thu thập thông tin từ các ứng dụng sau:
Ví tiền điện tử Atomic, trình duyệt web Avast Secure, trình duyệt Brave, ví tiền điện tử Ledger Live, trình duyệt web Opera, ứng dụng Waves Client và Exchange cryptocurrency, ví tiền điện tử Coinomi, trình duyệt web Google Chrome, ví tiền điện tử Jaxx Liberty, ví tiền điện tử Electron Cash, ví tiền điện tử Electrum, ví tiền điện tử Exodus, ví tiền điện tử Monero, ví tiền điện tử MultiBitHD, tTrình duyệt web Mozilla Firefox, trình duyệt web CCleaner, trình duyệt web Vivaldi...
Mặc dù có một số trình duyệt trong danh sách này, nhưng Edge của Microsoft không phải là một trong số chúng.