Зловмисники заражають комп’ютери під керуванням Windows шкідливим програмним забезпеченням, яке краде криптовалютні гаманці. Вони маскують його під KMSpico – інструмент активації копій ПЗ Microsoft.
Згідно з дослідниками з Red Canary, багато IT-відділів використовують KMSPico замість легального активатора Microsoft. Експерти виявили шкідливий установник KMSPico, який містить файл, що виконується, як 7-Zip, а також Cryptbot. Користувач заражається, клацнувши по одному з шкідливих посилань і завантажуючи KMSPico, Cryptbot або інше зловмисне програмне забезпечення.
Цей Cryptbot може збирати конфіденційні дані з наступних програм: криптовалютні гаманці Atomic, Ledger Live, Coinomi, Jaxx Liberty, Electron Cash, Electrum, Exodus, Monero, MultiBitHD, веб-браузери Avast Secure, Avast Secure, Brave, Opera Web, Google Chrome, Mozilla Firefox, CCleaner, Vivaldi, а також із Waves Client and Exchange.