Le criptovalute possono finire nel mirino degli hacker e dei malintenzionati? Certo che sì, ovviamente. Proprio nelle scorse ore i ricercatori di Red Canary hanno scovato un malware di nome Cryptbot che riesce ad ottenere un elevato numero di informazioni sensibili, tra cui le credenziali di accesso ai portafogli di criptovalute. Il malware è stato individuato nell’installer di KMSpico, un tool che viene utilizzato per attivare le licenze pirata di Windows e Office.
Gli antivirus, come riportato anche dai ricercatori, individuano solitamente l’attivatore KMSpico come PUA (Potentially Unwanted Program): questo tool, infatti, consente di emulare i Key Management Services di Microsoft sul dispositivo locale. E per l’installazione di questo attivatore viene spesso consigliata la disattivazione degli antivirus e dei firewall, ma è proprio così (e non solo) che il malware può riuscire a farla franca. Quello che gli utenti non sanno è che in rete circolano diverse versioni infette di KMSpico: proprio in una di queste è stato individuato il malware Cryptobot.
Perché gli antivirus non lo rilevano? I ricercatori di Red Canary si sono accorti che il codice sull’installer è offuscato in modo tale da passare inosservato: per scoprirlo devono essere effettuate ricerche più approfondite (con PowerShell, ndr). Tra i wallet di criptovalute potenzialmente “borseggiabili” da Cryptobot compaiono Atomic, Ledger Live, Electron Cash ma anche Monero e Exodus.
Gli esperti ovviamente suggeriscono di non procedere all’installazione di KMSpico per attivare le copie pirata di Windows e puntare sulle licenze originali di Windows e Office, che costano oltretutto davvero poco. Qualora sospettiate di avere il malware ed abbiate trafficato nel mondo crypto con i suddetti wallet dal vostro PC, il consiglio è quello di formattare il computer e reinstallare una copia di Windows senza utilizzare il suddetto attivatore.