恶意程序伪装成KMSPico激活器，窃取Windows用户加密货币

最近的安全研究发现，一款恶意软件伪装成知名的Windows产品密钥激活器KMSPico，通过该破解软件的知名度进行大规模传播，大量窃取用户的加密货币钱包私钥以及其他有价值的信息，包括浏览器记录和Cookie、信用卡凭据等，并能对受感染的系统桌面进行截图。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，该恶意软件被称为  CryptBot ，是一款信息窃取恶意程序，它伪装成KMSPico激活程序，KMSPico是非法的Windows产品授权密钥破解器，能在没有购买正版授权的情况下激活Windows和Office等产品。

安全研究人员称，用户通过点击其中一个恶意链接并下载 KMSPico、Cryptbot 或其他没有 KMSPico 的恶意软件而被感染，有些恶意程序也会安装KMSPico，让受害者感受到工具的确可用，但事实上且在后台静默部署了Cryptbot恶意程序。

网络安全威胁情报表明，目前有很多企业的IT部门使用这些非法的破解软件来激活Windows系统，很多时候KMSpico都网络上都声称其是官方的激活器，很多IT人员并没有进行分辨就进行使用。

这远不是第一次破解软件成为部署恶意软件的渠道。2021 年 6 月，一项名为 Crackonosh 的活动涉及分发流行软件的非法副本，以入侵并滥用受感染的机器来挖掘加密货币，为攻击者赚取超过 200 万美元的利润。