KMSPico là một phần mềm kích hoạt phổ biến từ thời Windows 8. Nó hỗ trợ kích hoạt hệ thống Windows 8/10 và phần mềm văn phòng Office 2013/2016/2019.
KMSPico có thể thu thập dữ liệu từ các ví tiền điện tử trên máy tính người dùng thông qua phần mềm Cryptbot. CryptBot được lây lan qua nhiều phương thức, trong đó KMSPico là một trong những phương thức phổ biến thời gian gần đây. KMSPico là công cụ kích hoạt Windows để dùng lậu, thay vì mua bản quyền từ Microsoft.
Cần nhấn mạnh rằng với tư cách là một công cụ kích hoạt phần mềm lậu, bản thân KMSPico không có trang web chính thức.
Một số trong số những trang web được gọi là "chính thức" này cung cấp các bản cài đặt có chứa virus và một số có thể chỉ được sử dụng để thêm quảng cáo. Người dùng thực sự khó tìm được bản gốc chính thức.
Ngoài ra, trình kích hoạt này cũng có thể được sử dụng bởi người dùng doanh nghiệp. Nếu nó được sử dụng bởi người dùng của công ty, nó cũng có thể khiến các thiết bị khác trong mạng nội bộ của công ty bị nhiễm virus.
Theo báo cáo của công ty bảo mật Red Canary, công cụ CryptBot được phát hiện ẩn trong nhiều bộ phần mềm KMSPico trên Internet. CryptBot khi được cài vào máy có thể thu thập thông tin của hàng loạt ví tiền điện tử như Electrum, Monero, Exodus... và các trình duyệt như Chrome, Firefox, Opera. Nếu có được thông tin truy cập, hacker có thể chiếm quyền điều khiển của ví, từ đó đánh cắp tiền điện tử của người dùng.
Công cụ này đang được chia sẻ tràn lan trên Internet. Khi tìm kiếm với từ khóa "kmspico", người dùng nhận về hàng triệu kết quả. Tuy nhiên trong đó, nhiều trang web chia sẻ các phần mềm giả mạo và chứa mã độc nguy hiểm. Các nhà nghiên cứu cho biết, trong một số trường hợp, CryptBot được đổi tên để giả làm KMSPico dụ người dùng tải về. Một số trường hợp khác, CryptBot ẩn trong file KMSPico và âm thầm cài được lên máy mà nạn nhân không hay biết.
Khi phân tích CryptBot, các nhà nghiên cứu nhận thấy mã độc này được thiết kế tinh vi để tránh sự phát hiện của chương trình diệt virus. Thậm chí, chúng có thể nhận biết môi trường giả lập trên máy tính của các nhà nghiên cứu để ẩn mình. Họ chỉ phát hiện được mã độc khi chúng thực hiện lệnh PowerShell hoặc kết nối mạng ra bên ngoài.
Các chuyên gia khuyến cáo, người dùng nên dùng các phiên bản Windows bản quyền để được cập nhật liên tục và tránh các mã độc được cài từ nhiều nguồn khác nhau khi cài đặt phần mềm từ các nguồn không rõ ràng. Bởi khi bị hacker tấn công, giá trị số tiền điện tử mất đi thường sẽ rất lớn, gây thiệt hại nghiêm trọng cho người dùng.