{"id":4921,"date":"2021-12-20T11:28:31","date_gmt":"2021-12-20T14:28:31","guid":{"rendered":"https:\/\/netdeep.com.br\/novo\/?p=4921"},"modified":"2025-01-30T11:29:52","modified_gmt":"2025-01-30T14:29:52","slug":"instaladores-maliciosos-do-kmspico-podem-roubar-seus-dados-e-suas-criptomoedas","status":"publish","type":"post","link":"https:\/\/netdeep.com.br\/novo\/instaladores-maliciosos-do-kmspico-podem-roubar-seus-dados-e-suas-criptomoedas\/","title":{"rendered":"Instaladores maliciosos do KMSPico podem roubar seus dados e suas criptomoedas"},"content":{"rendered":"<p>Criminosos est\u00e3o distribuindo instaladores KMSpico alterados para infectar dispositivos Windows com malware que rouba dados e tamb\u00e9m carteiras de criptomoedas.<\/p>\n<p>Essa atividade foi identificada por pesquisadores da Red Canary, que alertam que piratear software para economizar nos custos de licenciamento n\u00e3o vale o risco.<\/p>\n<p>KMSPico \u00e9 um popular ativador de produto do Microsoft Windows e Office que emula um servidor Windows Key Management Services (KMS) para ativar licen\u00e7as de forma fraudulenta. Literalmente um \u201ccrack\u201d. Um dos mais comuns em uso do Brasil.<\/p>\n<p>De acordo com o Red Canary, muitos departamentos de TI que usam o KMSPico em vez de licen\u00e7as de software leg\u00edtimas da Microsoft s\u00e3o muito maiores do que se poderia esperar.<\/p>\n<h2>Ativadores de produtos contaminados com malware<\/h2>\n<p>O KMSPico \u00e9 comumente distribu\u00eddo por meio de softwares piratas e sites de cracks que envolvem a ferramenta em instaladores contendo adware e malware.<\/p>\n<p>Como voc\u00ea pode ver abaixo, existem v\u00e1rios sites criados para distribuir o KMSPico, todos alegando ser o site oficial:<\/p>\n<p><img decoding=\"async\" class=\"aligncenter\" src=\"https:\/\/www.bleepstatic.com\/images\/news\/u\/1220909\/Website%20snaps\/KMS_pico.jpg\" alt=\"A maioria dos resultados da Pesquisa Google para KMSPico retorna sites que afirmam ser oficiais\" \/><\/p>\n<p>Um instalador KMSPico malicioso analisado pela RedCanary vem em um execut\u00e1vel de extra\u00e7\u00e3o autom\u00e1tica como 7-Zip e cont\u00e9m um emulador de servidor KMS real e\u00a0\u00a0<a href=\"https:\/\/www-bleepingcomputer-com.translate.goog\/news\/security\/fake-vpn-site-pushes-cryptbot-and-vidar-info-stealing-trojans\/?_x_tr_sl=en&amp;_x_tr_tl=pt&amp;_x_tr_hl=pt-BR\" target=\"_blank\" rel=\"noopener\">Cryptbot<\/a>\u00a0.<\/p>\n<p>O usu\u00e1rio \u00e9 infectado clicando em um dos links maliciosos e baixa o KMSPico, Cryptbot ou outro malware sem o KMSPico.<\/p>\n<p>O malware \u00e9\u00a0\u00a0encapsulado pelo\u00a0\u00a0empacotador\u00a0CypherIT\u00a0que ofusca o instalador para evitar que seja detectado pelo software de seguran\u00e7a.\u00a0Este instalador ent\u00e3o inicia um script que tamb\u00e9m \u00e9 fortemente ofuscado, que \u00e9 capaz de detectar sandboxes e emula\u00e7\u00e3o de antiv\u00edrus, portanto n\u00e3o ser\u00e1 executado quando executado nos dispositivos do pesquisador.<\/p>\n<div>\n<figure class=\"image\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter\" src=\"https:\/\/www.bleepstatic.com\/images\/news\/u\/1220909\/Code%20and%20Details\/obfuscated_code.jpg\" alt=\"C\u00f3digo ofuscado do Cryptbot\" width=\"932\" height=\"556\" \/><figcaption><strong>C\u00f3digo ofuscado do Cryptbot<\/strong><br \/>\n<em>Fonte: Red Canary<\/em><\/figcaption><\/figure>\n<\/div>\n<p>&nbsp;<\/p>\n<p>Al\u00e9m disso, o Cryptobot verifica a presen\u00e7a de \u201c% APPDATA% \\ Ramson\u201d e executa sua rotina de auto-exclus\u00e3o se a pasta existir para evitar a reinfec\u00e7\u00e3o.<\/p>\n<p>A inje\u00e7\u00e3o de bytes do Cryptbot na mem\u00f3ria ocorre por meio do m\u00e9todo de esvaziamento do processo, enquanto os recursos operacionais do malware se sobrep\u00f5em aos resultados de pesquisas anteriores.<\/p>\n<p>Em resumo, o Cryptbot \u00e9 capaz de coletar dados confidenciais dos seguintes aplicativos:<\/p>\n<ul>\n<li>Atomic cryptocurrency wallet<\/li>\n<li>Avast Secure web browser<\/li>\n<li>Brave browser<\/li>\n<li>Ledger Live cryptocurrency wallet<\/li>\n<li>Opera Web Browser<\/li>\n<li>Waves Client and Exchange cryptocurrency applications<\/li>\n<li>Coinomi cryptocurrency wallet<\/li>\n<li>Google Chrome web browser<\/li>\n<li>Jaxx Liberty cryptocurrency wallet<\/li>\n<li>Electron Cash cryptocurrency wallet<\/li>\n<li>Electrum cryptocurrency wallet<\/li>\n<li>Exodus cryptocurrency wallet<\/li>\n<li>Monero cryptocurrency wallet<\/li>\n<li>MultiBitHD cryptocurrency wallet<\/li>\n<li>Mozilla Firefox web browser<\/li>\n<li>CCleaner web browser<\/li>\n<li>Vivaldi web browser<\/li>\n<\/ul>\n<p>Como a opera\u00e7\u00e3o do Cryptbot n\u00e3o depende da exist\u00eancia de bin\u00e1rios n\u00e3o criptografados no disco, detect\u00e1-lo s\u00f3 \u00e9 poss\u00edvel monitorando o comportamento malicioso, como execu\u00e7\u00e3o de comando do PowerShell ou comunica\u00e7\u00e3o de rede externa.<\/p>\n<p>Em resumo, se voc\u00ea pensou que o KSMPico \u00e9 uma maneira inteligente de economizar em custos de licenciamento desnecess\u00e1rios, o que foi dito acima ilustra porque \u00e9 uma m\u00e1 id\u00e9ia.<\/p>\n<p>A realidade \u00e9 que a perda de receita devido \u00e0 resposta a incidentes,\u00a0ataques de ransomware\u00a0e roubo de criptomoeda da instala\u00e7\u00e3o de software pirata pode ser maior do que o custo das licen\u00e7as reais do Windows e do Office.<\/p>\n<p>Fonte:\u00a0<em><strong>Bleeping Computer<\/strong><\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Criminosos est\u00e3o distribuindo instaladores KMSpico alterados para infectar dispositivos Windows com malware que rouba dados e tamb\u00e9m carteiras de criptomoedas. Essa atividade foi identificada por pesquisadores da Red Canary, que alertam que piratear software para economizar nos custos de licenciamento n\u00e3o vale o risco. KMSPico \u00e9 um popular ativador de produto do Microsoft Windows e&#8230;<\/p>\n","protected":false},"author":1,"featured_media":4922,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[33],"tags":[],"class_list":["post-4921","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguranca-da-informacao","article-list-item","animate"],"_links":{"self":[{"href":"https:\/\/netdeep.com.br\/novo\/wp-json\/wp\/v2\/posts\/4921","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/netdeep.com.br\/novo\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/netdeep.com.br\/novo\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/netdeep.com.br\/novo\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/netdeep.com.br\/novo\/wp-json\/wp\/v2\/comments?post=4921"}],"version-history":[{"count":1,"href":"https:\/\/netdeep.com.br\/novo\/wp-json\/wp\/v2\/posts\/4921\/revisions"}],"predecessor-version":[{"id":4923,"href":"https:\/\/netdeep.com.br\/novo\/wp-json\/wp\/v2\/posts\/4921\/revisions\/4923"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/netdeep.com.br\/novo\/wp-json\/wp\/v2\/media\/4922"}],"wp:attachment":[{"href":"https:\/\/netdeep.com.br\/novo\/wp-json\/wp\/v2\/media?parent=4921"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/netdeep.com.br\/novo\/wp-json\/wp\/v2\/categories?post=4921"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/netdeep.com.br\/novo\/wp-json\/wp\/v2\/tags?post=4921"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}