Vorsicht bei „KMSPico“

Verseuchte Office-Cracks rauben Kryptogeld-Wallets

Die Macher der manipulierten Cracks haben es auf Kryptowährungen wie den Bitcoin abgesehen.

(Bild: stock.adobe.com)

Software-Piraten, die Microsoft-Produkte wie Windows oder Office ohne Lizenz nutzen wollen, „cracken“ diese mit sogenannten KMS-Tools. Anwendungen wie KMSPico gaukeln der illegal verwendeten Software vor, es liege ein gültiger Produktschlüssel vor. Wie die IT-Security-Firma Red Canary meldet, geht der Download solcher Tools allerdings mit hohem Risiko einher: Derzeit kursieren manipulierte KMSPico-Downloads, die einen Trojaner enthalten, der die Krypto-Vermögen der Piraten raubt.

Tony Lambert von Red Canary zufolge werden nicht nur Privatnutzer von den verseuchten „Cracks“ für Office und Windows bedroht. „Wir haben schon IT-Abteilungen beobachtet, die KMSPico statt legitimer Microsoft-Lizenzen verwenden, um ihre Systeme zu aktivieren“, erzählt er „Bleepingcomputer“. Einmal sei man gar von einem Unternehmen zu Hilfe gerufen worden, in dem keine einzige gültige Windows-Lizenz im Einsatz war.

Ob im Firmen- oder Privatnutzerumfeld: Windows- und Office-Piraten droht dem Experten zufolge beim Download der Aktivierungs-Tools Gefahr. Cyberkriminelle verteilen auf eigens erstellten Websites, die bei einer Google-Suche nach KMSPico aufscheinen, manipulierte Versionen des Tools. Es handelt sich meist um selbst entpackende Archive, etwa im 7-Zip-Format. Red Canary warnt: „Die Hintermänner installieren KMSPico, weil die Opfer dies erwarten, währenddessen wird aber im Hintergrund auch der Trojaner Cryptbot aufgespielt.“

Trojaner hat es auf Browser und Krypto-Wallets abgesehen
Bei Cryptbot handelt es sich um einen Trojaner, der während der PC-Nutzung sensible Daten abgreift und es auf Browser und Krypto-Geldbörsen (Wallets) abgesehen hat: Gehen ihm die Zugangsdaten zu Krypto-Wallets ins Netz, verschickt er diese an die Hintermänner und das Vermögen des Opfers ist weg. Virenscanner schützen nur bedingt: Einerseits rechnen die Nutzer bei der Verwendung solcher Tools ohnedies mit Warnhinweisen und klicken diese im Zweifel oft weg, andererseits verschleiern die Cyberkriminellen die Existenz des Trojaners geschickt vor dem Virenschutz.

Entdeckt wird Cryptbot am ehesten von Antiviren-Software, die Programme auf problematisches Verhalten überwacht - etwa auf die Kommunikation mit externen Netzwerken oder das Ausführen verdächtiger PowerShell-Befehle. Red Canary warnt: Die vermeintlich billige Lösung einer Schwarzkopie von Microsoft Office oder Windows kann, wenn man in die Falle tappt, ziemlich teuer werden. Die Lizenzkosten-Ersparnis wiege das Risiko nicht auf.