Les utilisateurs qui cherchent à activer Windows sans utiliser de licence ou de clé de produit sont la cible d’installateurs corrompus qui déploient des logiciels malveillants conçus pour piller les informations d’identification et autres informations contenues dans les portefeuilles de crypto-monnaies.

Le malware, baptisé « CryptBot« , est un voleur d’informations capable de collecter les clés privées au sein des navigateurs, des portefeuilles de crypto-monnaies ou encore les cookies de navigateur, les cartes de crédit, et de capturer des captures d’écran des systèmes infectés. Déployée via un logiciel piraté, la dernière attaque en date implique que le malware se fasse passer pour KMSPico.

KMSPico est un outil non officiel utilisé pour activer illicitement toutes les fonctionnalités de copies pirates de logiciels tels que Microsoft Windows et la suite Office sans posséder de clé de licence.

Comme les antivirus bloquent généralement KMSPico en tant que programme potentiellement indésirable (PUP), le logiciel est accompagné d’instructions permettant de désactiver les logiciels antivirus et anti-malware, ce qui permet à Cryptobot de s’exécuter sur le système en toute impunité, aider par les utilisateurs crédules.

Une fois introduit dans un système, Cryptbot le parcourt à la recherche d’informations d’identification et d’autres informations sensibles, y compris les portefeuilles de crypto-monnaie. La liste des portefeuilles à risque de Cryptbot est longue et comprend Electrum, Monero, Exodus et Ledger Live, ainsi que d’autres applications telles que les navigateurs Web (y compris Google Chrome, Mozilla Firefox, Courageux et Opéra).

Étant donné que le programme d’installation de KMSPico exploite les services de gestion de clés Windows (KMS) – une technologie légitime utilisée pour les licences en masse sur les réseaux d’entreprise – certains services informatiques qui disposaient de licences légitimes auraient utilisé l’outil illicite pour activer leurs systèmes, corrompant par inadvertance leurs systèmes avec Cryptbot.

Cibles de logiciels malveillants crypto

Compte tenu des gains très lucratifs liés aux crypto-monnaies, les logiciels malveillants sont une épine permanente dans le pied des utilisateurs de crypto. Il peut s’agir de logiciels malveillants qui exploitent les ressources du système (pour miner en douce) ou d’applications cryptographiques frauduleuses conçues pour dérober les clés privées des utilisateurs comme Cryptbot.

C’est loin d’être la première fois que des logiciels piratés sont utilisés pour déployer des logiciels malveillants. En juin 2021, l’entreprise tchèque de logiciels de cybersécurité Avast a révélé une campagne baptisée « Crackonosh » qui consistait à distribuer des copies illégales de logiciels populaires pour s’introduire dans les machines compromises et en abuser pour miner de la crypto-monnaie, rapportant à l’attaquant plus de 2 millions de dollars de bénéfices.