Pour rappel, KMSPico est un activateur pour les produits Microsoft Windows et Office, dont la tâche consiste à émuler un serveur Windows Key Management Services (KMS) et à activer une fausse licence.
Sur le site il y a 3 sujets :
Une présentation
https://www.malekal.com/kmspico/
Les risques d'infection(s)
https://www.malekal.com/kmspico-trojan/
Comment le supprimer
https://www.malekal.com/supprimer-kmspico/
Il ne faut pas se leurrer, la majorité de ce que ramène un moteur de recherches avec le terme kmspico, sont des liens qui mènent sur des malwares, surtout avec les sites qui se proclament "officiels"
KMSPico est donc généralement distribué via des logiciels piratés et des sites de crack qui enveloppent l'outil dans des programmes d'installation contenant au mieux des logiciels publicitaires mais également et surtout des logiciels malveillants.
Source principale et détails :
https://redcanary.com/wp-content/upload ... ico-V5.pdf
On connaissait les KMSPICO "Trojanés" (oui oui c'est un néologisme :-) avec les fonctions connues (vol de données diverses) mais voici que débarquent les KMSPICO qui volent des portefeuilles de crypto(s)-monnaie(s).
Ce sont les chercheurs en sécurité de RedCanary qui ont découvert et analysé un programme d'installation malveillant de KMSPico (cf : La source)
LA METHODE
Celui ci se présente sous la forme d'un exécutable auto-extractible tel que 7-Zip et contient à la fois un émulateur de serveur KMS et un Cryptbot .
"L'utilisateur est infecté en cliquant sur l'un des liens malveillants et télécharge soit KMSPico, Cryptbot, ou un autre malware sans KMSPico", explique une analyse technique (cf le lien source)
LA TECHNIQUE
Cryptobot vérifie la présence de "%APPDATA%\Ramson" et exécute sa routine d'auto-suppression si le dossier existe pour empêcher la réinfection.
L'injection des octets du Cryptbot dans la mémoire s'effectue par le biais de la méthode d'évidement du processus, tandis que les fonctionnalités opérationnelles du malware se chevauchent avec les résultats des recherches précédentes.
Étant donné que le fonctionnement de Cryptbot ne repose pas sur l'existence de fichiers binaires non chiffrés sur le disque, sa détection n'est possible qu'en surveillant les comportements malveillants tels que l'exécution de commandes PowerShell ou la communication réseau externe.
Le malware est enveloppé par le packer CypherIT https://www.bleepingcomputer.com/news/s ... -cocktail/ qui masque le programme d'installation pour l'empêcher d'être détecté par un logiciel de sécurité. Ce programme d'installation lance ensuite un script également fortement obscurci, capable de détecter les bacs à sable et l'émulation AV, de sorte qu'il ne s'exécutera pas lorsqu'il sera exécuté sur les ordinateurs de celui qui veut effectuer une analyse
LE SOUCIS
Outre les particuliers qui ne veulent pas payer de license, Tony Lambert, analyste du renseignement de Red Canary explique que
"Nous avons observé que plusieurs services informatiques utilisaient KMSPico au lieu de licences Microsoft légitimes pour activer des systèmes"
Personnellement, je pense que c'est chercher le bâton pour se faire battre
Lorsque l'on a les moyens d'avoir un portefeuille en crypto(s) monnaie(s), on a les moyens de s'offrir des licences Windows ou Office (mais ce n'est que mon avis)
On a la même chose chez les particuliers qui vont mettre 2 000 euros et plus dans un PC mais ne pas payer la licence de l'OS
Dans les deux cas cela ne relève même pas de la pingrerie, mais de la bêtise, parfois de la naïveté, de connaissances qui datent des premiers Windows, et/ou d'un raisonnement limité (mais -bis repetita - ce n'est que mon avis)
QUE FAIT CE TROJAN ?
Cryptbot est capable de collecter des données sensibles à partir des applications suivantes :
Code : Tout sélectionner
Portefeuille de crypto-monnaie Atomic
Portefeuille de crypto-monnaie Ledger Live
Applications de crypto-monnaie Waves Client et Exchange
Portefeuille de crypto-monnaie Coinomi
Portefeuille de crypto-monnaie Jaxx Liberty
Portefeuille de crypto-monnaie Electron Cash
Portefeuille de crypto-monnaie Electrum
Portefeuille de crypto-monnaie Exodus
Portefeuille de crypto-monnaie Monero
Portefeuille de crypto-monnaie MultiBitHD
Navigateur Web Google Chrome
Navigateur Avast WebSecure
Navigateur Brave
Navigateur Web Opera
Navigateur Web Mozilla Firefox
Navigateur Web CCleaner
Navigateur Web Vivaldi
Donc.. Cela inclut évidemment les vols de données dont login et mot de passe
AU FINAL : Il faudra désinfecter le PC (au mieux il y aura un proxy impossible à virer avec les anti virus, MBAM etc mais qui le sera via un fix de FRST) et seulement ENSUITE changer tous les login et mots de passe : Sites internet, comptes de jeux, et de réseaux sociaux (Facebook, Instagram etc)
L'analyse conclu par un :
"Si vous pensiez que KSMPico est un moyen intelligent d'économiser sur les coûts de licence inutiles, ce qui précède illustre pourquoi c'est une mauvaise idée .
La réalité est que la perte de revenus due à la réponse aux incidents, aux attaques de ransomware et au vol de crypto-monnaie résultant de l'installation de logiciels piratés pourrait être supérieure au coût des licences Windows et Office réelles."
Cela n'a rien de moralisateur, car il ne s'agit que de bon sens, mais cette conclusion, ce concept, échappe aux utilisateurs de cracks car cela relève de la réflexion (l'analyse parle d'intelligence..)