Gli utenti che utilizzano copie pirata di Windows – senza aver attivato una licenza legittima – sono l’obiettivo di un malware chiamato CryptBot, il cui attacco consiste nel rubare credenziali per portafogli digitali di criptovalute, cookie dei browser, carte di credito, per navigare e per catturare screenshot da sistemi infetti.
Distribuito via strumenti di cracking di software, l’ultimo attacco coinvolge un malware che si traveste da KMSPico, uno dei tanti “activator” delle licenze pirata di Windows.
“Gli attaccanti stanno sfruttando tool e metodologie utilizzate per il cracking di software, in questo caso Windows, per far installare del malware”, commenta Gerardo Costabile, CEO di DeepCyber (Gruppo Maggioli).
Indice degli argomenti
KMSPico, attacco ai pirati di Windows
“Questo approccio colpisce gli utenti che, proprio perché colti in fallo in qualcosa di poco legittimo, sono più propensi a non denunciare o a pagare, se previsto, un piccolo riscatto”, evidenzia Costabile. Il pirata di software è insomma la vittima perfetta di questa tipologia di attacco.
Infatti, usare software illegittimo invece di valide licenze di Microsoft per attivare Windows, consente agli attaccanti di aggiungere l’installazione di KMSpico, distribuito attraverso una numerosa serie di siti che offrono la versione “ufficiale” del tool di cracking.
KMSPico è uno strumento usato per attivare illegalmente le funzionalità complete di copie pirata di software come il sistema operativo Microsoft Windows e la suite di produttività Office, senza la necessità di possedere una licenza legittima.
“L’utente s’infetta, semplicemente cliccando uno dei link malevoli e scaricando o KMSPico, CryptBot, o un altro malware senza KMSPico”, avverte il ricercatore di Red Canary, Tony Lambert, in un report pubblicato la scorsa settimana. “Coloro che subiscono l’attacco installano anche KMSPico, perché è ciò che la vittima si aspetta, mentre CryptBot agisce dietro le quinte”.
CryptBot ruba criptovalute ai pirati del software
Lo scorso giugno l’azienda di cybersecurity Avast ha scoperto una campagna chiamata “Crackonosh” che sfruttava la distribuzione di copie illegali di popolari software per entrare nei sistemi e abusare delle macchine compromesse anche per eseguire attività di cryptojacking (per creare criptovalute), generando 2 milioni di dollari di profitti agli attaccanti.
“In passato, qualcosa di simile è accaduto diverse volte anche con falsi sistemi antivirus o software con dentro trojan”, ci spiega Gerardo Costabile: “La qualità del software e delle fonti dove recuperiamo questi tool è fondamentale. Ciò che è gratis ha sempre un prezzo, che sia un pagamento in natura (la nostra profilazione) o peggio ancora, come in questo caso, essere derubati durante una azione che potremmo definire borderline o in alcuni casi illecita”.
Come proteggersi da malware CryptBot
Il primo consiglio è quello di non crackare software, ma ovviamente di acquistare le licenze legittime. Tuttavia “quando si usano determinati tool”, mette in guardia Costabile “o si fanno test di sicurezza è bene avere una macchina ‘sacrificabile’, senza dati o account al suo interno. Questo vale anche quando si frequentano alcuni ambiti nel Dark Web. Evitando di accedere dal propri device tradizionale o di cliccare ‘ovunque’ e senza porci domande”.
Infine, un consiglio per i possessori di criptovalute. “Per l’autenticazione dei sistemi di cryptocurrency, al di là dello specifico malware”, conclude Costabile, “bisognerebbe aderire il più possibile a strumenti che consentano un serio approccio all’autenticazione a doppio fattore, firmando le transazioni comprensive del contenuto e non solo autenticando l’utenza”.
