A kártékony kódok írói ezúttal az illegalitásba vonuló felhasználókat vették célba, közülük is azokat, akik nem akarnak Windows vagy Office licencet vásárolni. A Red Canary szerint a KMSPico névre keresztelt appból, amely eredetileg a két említett szoftver illegális aktiválására használatos, nemrégiben hamis változat jelent meg, amely különböző felhasználói adatok ellopására specializálódott. Az efféle alkalmazásokat jellemzően blokkolják a különböző védelmi szoftverek, beleértve a Windows Defendert is, így használatukhoz ezeket ki kell kapcsolni, így a rendszer az illegális művelet elvégzéséig védtelen marad.

Pont ezt a védtelen állapotot használják ki a hamis KMSPico szoftver terjesztői, akik egy speciális malware-t rejtettek az appba. Ez a malware a Cryptobot nevet viseli, feladata pedig egyszerű: azokról a rendszerekről, amelyekre felkerült, minél több érzékeny adatot próbál megszerezni. Ezek jellemzően valamely kriptovaluta tárcájához tartozó bejelentkezési adatok, ám extraként a Chrome, a Firefox, a Brave, a Opera és a Vivaldi webböngészőből is próbál érzékeny adatokhoz jutni, valamint még a CCleaner nevű, rendszermenedzsmentet segítő alkalmazásból is próbál adatokat lopni. Utóbbiak nem elsődleges célpontok, a legfontosabb, hogy az alábbi kriptovaluta-tárcákhoz tartozó felhasználói adatokhoz hozzájussanak a kártékony kód írói:

Hogy miként lehet védekezni egy efféle veszély ellen? Viszonylag egyszerűen: nem kell letölteni a KMSPico alkalmazást, érdemes a legalitás felé elmozdulni, mert hosszabb távon több szempontból is kifizetődőbb lehet – például nem kell tartani a feltört szoftverekkel érkező kártékony kódoktól.