KMSPICO : Un Trojan voleur de Cryptos monnaies, mais pas que ...

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Avatar de l’utilisateur
Parisien_entraide
Messages : 10843
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

KMSPICO : Un Trojan voleur de Cryptos monnaies, mais pas que ...

par Parisien_entraide »

KMSPICO.png



Pour rappel, KMSPico est un activateur pour les produits Microsoft Windows et Office, dont la tâche consiste à émuler un serveur Windows Key Management Services (KMS) et à activer une fausse licence.



Sur le site il y a 3 sujets :


Une présentation
https://www.malekal.com/kmspico/

Les risques d'infection(s)
https://www.malekal.com/kmspico-trojan/

Comment le supprimer
https://www.malekal.com/supprimer-kmspico/


Il ne faut pas se leurrer, la majorité de ce que ramène un moteur de recherches avec le terme kmspico, sont des liens qui mènent sur des malwares, surtout avec les sites qui se proclament "officiels"

kms_pico.jpg



KMSPico est donc généralement distribué via des logiciels piratés et des sites de crack qui enveloppent l'outil dans des programmes d'installation contenant au mieux des logiciels publicitaires mais également et surtout des logiciels malveillants.


Source principale et détails :
https://redcanary.com/wp-content/upload ... ico-V5.pdf


On connaissait les KMSPICO "Trojanés" (oui oui c'est un néologisme :-) avec les fonctions connues (vol de données diverses) mais voici que débarquent les KMSPICO qui volent des portefeuilles de crypto(s)-monnaie(s).


Ce sont les chercheurs en sécurité de RedCanary qui ont découvert et analysé un programme d'installation malveillant de KMSPico (cf : La source)



LA METHODE


Celui ci se présente sous la forme d'un exécutable auto-extractible tel que 7-Zip et contient à la fois un émulateur de serveur KMS et un Cryptbot .

"L'utilisateur est infecté en cliquant sur l'un des liens malveillants et télécharge soit KMSPico, Cryptbot, ou un autre malware sans KMSPico", explique une analyse technique (cf le lien source)




LA TECHNIQUE

Cryptobot vérifie la présence de "%APPDATA%\Ramson" et exécute sa routine d'auto-suppression si le dossier existe pour empêcher la réinfection.

L'injection des octets du Cryptbot dans la mémoire s'effectue par le biais de la méthode d'évidement du processus, tandis que les fonctionnalités opérationnelles du malware se chevauchent avec les résultats des recherches précédentes.

Étant donné que le fonctionnement de Cryptbot ne repose pas sur l'existence de fichiers binaires non chiffrés sur le disque, sa détection n'est possible qu'en surveillant les comportements malveillants tels que l'exécution de commandes PowerShell ou la communication réseau externe.

Le malware est enveloppé par le packer CypherIT https://www.bleepingcomputer.com/news/s ... -cocktail/ qui masque le programme d'installation pour l'empêcher d'être détecté par un logiciel de sécurité. Ce programme d'installation lance ensuite un script également fortement obscurci, capable de détecter les bacs à sable et l'émulation AV, de sorte qu'il ne s'exécutera pas lorsqu'il sera exécuté sur les ordinateurs de celui qui veut effectuer une analyse



LE SOUCIS


Outre les particuliers qui ne veulent pas payer de license, Tony Lambert, analyste du renseignement de Red Canary explique que
"Nous avons observé que plusieurs services informatiques utilisaient KMSPico au lieu de licences Microsoft légitimes pour activer des systèmes"

Personnellement, je pense que c'est chercher le bâton pour se faire battre

Lorsque l'on a les moyens d'avoir un portefeuille en crypto(s) monnaie(s), on a les moyens de s'offrir des licences Windows ou Office (mais ce n'est que mon avis)
On a la même chose chez les particuliers qui vont mettre 2 000 euros et plus dans un PC mais ne pas payer la licence de l'OS
Dans les deux cas cela ne relève même pas de la pingrerie, mais de la bêtise, d'un raisonnement limité (mais -bis repetita - ce n'est que mon avis)



QUE FAIT CE TROJAN ?


Cryptbot est capable de collecter des données sensibles à partir des applications suivantes :

Code : Tout sélectionner

Portefeuille de crypto-monnaie Atomic 
Portefeuille de crypto-monnaie Ledger Live
Applications de crypto-monnaie Waves Client et Exchange
Portefeuille de crypto-monnaie Coinomi
Portefeuille de crypto-monnaie Jaxx Liberty
Portefeuille de crypto-monnaie Electron Cash
Portefeuille de crypto-monnaie Electrum
Portefeuille de crypto-monnaie Exodus
Portefeuille de crypto-monnaie Monero
Portefeuille de crypto-monnaie MultiBitHD
Navigateur Web Google Chrome
Navigateur Avast WebSecure
Navigateur Brave
Navigateur Web Opera
Navigateur Web Mozilla Firefox
Navigateur Web CCleaner
Navigateur Web Vivaldi

Donc.. Cela inclut évidemment les vols de données dont login et mot de passe


L'analyse conclu par un :

"Si vous pensiez que KSMPico est un moyen intelligent d'économiser sur les coûts de licence inutiles, ce qui précède illustre pourquoi c'est une mauvaise idée .
La réalité est que la perte de revenus due à la réponse aux incidents, aux attaques de ransomware et au vol de crypto-monnaie résultant de l'installation de logiciels piratés pourrait être supérieure au coût des licences Windows et Office réelles."


Cela n'a rien de moralisateur, car il ne s'agit que de bon sens, mais cette conclusion, ce concept, échappe aux utilisateurs de cracks car cela relève de la réflexion (l'analyse parle d'intelligence..)
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
Avatar de l’utilisateur
Parisien_entraide
Messages : 10843
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: KMSPICO : Un Trojan voleur de Cryptos monnaies

par Parisien_entraide »

Là il ne s'agit pas de crypto mais d'une infection classique

La société de recherche en sécurité ASEC a découvert une nouvelle campagne de logiciels malveillants qui se déguise sous la forme d'un outil de d'activation et de vérification de clé de produit Windows .

Sous cette apparence, cet outil est en réalité un BitRAT ou un cheval de Troie d'accès à distance.

"Alors que les logiciels piratés et piratés sont souvent connus pour infecter les appareils avec des logiciels malveillants, de nombreuses personnes ont tendance à ne pas prendre ces avertissements au sérieux, ou peut-être n'ont-elles pas les moyens d'acheter des licences Windows authentiques. En tant que tels, les fabricants de logiciels malveillants continuent de créer et de distribuer des logiciels malveillants par ces moyens".

Maintenant, pour en savoir plus sur le fonctionnement de ce BitRAT, l'ASEC explique que le fichier zip téléchargé "W10DigitalActivation.exe" contient le fichier malveillant mais contient également un véritable fichier d'activation de Windows. Le fichier msi "W10DigitalActivation" est apparemment réel tandis que l'autre fichier "W10DigitalActivation_Temp" est le malware (voir image ci-dessous).

2022-03-22_172226.jpg

Lorsqu'un utilisateur sans méfiance exécute le fichier exe, l'outil de vérification réel ainsi que le fichier malveillant sont exécutés simultanément, donnant à l'utilisateur l'impression que l'outil de vérification de la clé de licence Windows fonctionne comme prévu.

Le fichier malveillant W10DigitalActivation_Temp.exe télécharge ensuite des fichiers malveillants supplémentaires à partir du serveur de commande et de contrôle (C&C) et les livre dans le dossier du programme de démarrage de Windows via PowerShell. Enfin, le BitRAT est installé en tant que fichier "Software_Reporter_Tool.exe" dans le dossier % temp% et dans Windows Defender, le chemin d'exclusion pour le dossier de démarrage et le processus d'exclusion pour le BitRAT sont ajoutés.
WIndows defender donc ne verra rien


Il peut être détecté cependant par d'autres antivirus
Mais les utilisateurs de cracks s'en moquent, ce qu'ils veulent c'est lancer windows, les programmes, les jeux malgré les avertissements de l'anti virus, quitte à le désactiver si celui ci détecte la menace et colle le tout en quarantaine

– Trojan/Win.MalPacked.C5007707 (2022.03.12.04)
– Dropper/Win.BitRAT.C5012624 (2022.03.16.02)
– Downloader/Win.Generic.C5012582 (2022.03.16.01)
– Downloader/Win.Generic. C5012594 (2022.03.16.01)
– Porte dérobée/Win.BitRAT.C5012593 (2022.03.16.01)
– Porte dérobée/Win.BitRAT.C5012748 (2022.03.16.02)



Ce BitRAT est en vente via un forum de piratage depuis 2020, est continuellement utilisé par des attaquants et ...Mis à jour
Voici la fiche marketing
2022-03-22_172902.jpg

L'attaquant peut prendre le contrôle du système infecté par celui-ci.
BitRAT fournit non seulement des fonctionnalités de contrôle de base telles que l'exécution de tâches de processus, de services, de fichiers et de commandes à distance, mais fournit également des options supplémentaires telles que diverses fonctionnalités de vol d'informations, HVNC, le bureau à distance, l'extraction de pièces et les proxys.
2022-03-22_172925.jpg


Voici la liste des fonctionnalités fournies par BitRAT.

1. Méthode de communication réseau
- Communication cryptée à l'aide de TLS 1.2
- Communication à l'aide de Tor

2. Contrôle de base
– Gestionnaire de processus
– Gestionnaire de services
– Gestionnaire de fichiers
– Gestionnaire Windows
– Gestionnaire de logiciels

3. Vol d'informations
- Keylogging - Journalisation du presse
-papiers - Journalisation de la webcam - Journalisation audio - Vol d'informations d'identification de compte d'application (par exemple, navigateurs Web)


4. Contrôle à distance – Bureau à distance
– hVNC (Hidden Desktop)

5. Proxy
– Proxy SOCKS5 : fonctionnalité de redirection de port utilisant UPnP
– Proxy inverse : Proxy SOCKS4

6. Extraction de pièces
- XMRig CoinMiner

7. etc.
– Attaque DDoS
– Contournement UAC
– Désactivation de Windows Defender
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
Avatar de l’utilisateur
Parisien_entraide
Messages : 10843
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: KMSPICO : Un Trojan voleur de Cryptos monnaies

par Parisien_entraide »

Et il n'y a pas que KMSPICO

2022-05-18_002735.jpg

Derrière cet interface "old school" il y a cela


https://securelist.com/lazarus-trojaniz ... pp/106195/

Même si l'analyse émane de Kaspersky, c'est ESET qui a trouvé un lien avec ce KMS LITE
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Securite informatique »