據The Hacker News網站報道，一種名為CryptBot的惡意程序正偽裝成時下熱門的Windows系統第三方激活工具——KMSPico。

[[439100]]

CryptBot是一種信息竊取程序，能夠獲取瀏覽器cookie、加密貨幣錢包、信用卡憑證，并從受感染的系統中捕獲屏幕截圖。研究人員分析發現，該惡意程序由CypherIT 打包程序進行包裝，可混淆安裝程序以防止其被安全軟件檢測到。然后，此安裝程序會啟動一個同樣經過嚴重混淆的腳本，該腳本能夠檢測沙箱和 AV仿真，因此在研究人員的設備上運行時不會執行。

Cryptbot 的混淆代碼，來源：來源：Red Canary

而帶有惡意程序的KMSPico安裝包有自解壓可執行文件，如7-Zip，并且包含實際的KMS 服務器模擬器和CryptBot。

介于目前仍有大量用戶在沒有產品密鑰的情況下，通過使用KMSPico來激活Windows系統，以獲取完整的功能體驗，網上不法分子便盯上了這款非官方激活工具。

即使KMSPico沒有所謂真正的官方網站，不法分子仍在四處傳播所謂來自“官方”的軟件版本，用戶一旦采信，就會落入圈套，而且植入惡意程序后的KMSPico也能和正常版本一樣激活系統。

這遠不是第一次破解軟件成為惡意軟件的目標。2021 年 6 月，捷克網絡安全軟件公司 Avast 披露了一項名為“ Crackonosh ”的活動，該活動涉及分發流行軟件的非法副本，以侵入并濫用受感染的設備來挖掘加密貨幣，并為攻擊者賺取了200多萬美元。

研究人員建議，不要為了省錢使用非法激活工具，稍有不慎往往得不償失。