Theo báo cáo của công ty bảo mật Red Canary, công cụ CryptBot được phát hiện ẩn trong nhiều bộ phần mềm KMSPico trên Internet. CryptBot khi được cài vào máy có thể thu thập thông tin của hàng loạt ví tiền điện tử như Electrum, Monero, Exodus... và các trình duyệt như Chrome, Firefox, Opera. Nếu có được thông tin truy cập, hacker có thể chiếm quyền điều khiển của ví, từ đó đánh cắp tiền điện tử của người dùng.

Khi phân tích CryptBot, các nhà nghiên cứu nhận thấy mã độc này được thiết kế tinh vi để tránh sự phát hiện của chương trình diệt virus. Thậm chí, chúng có thể nhận biết môi trường giả lập trên máy tính của các nhà nghiên cứu để ẩn mình. Họ chỉ phát hiện được mã độc khi chúng thực hiện lệnh PowerShell hoặc kết nối mạng ra bên ngoài.

CryptBot được lây lan qua nhiều phương thức, trong đó KMSPico là một trong những phương thức phổ biến thời gian gần đây. KMSPico là công cụ kích hoạt Windows để dùng lậu, thay vì mua bản quyền từ Microsoft.

Công cụ này đang được chia sẻ tràn lan trên Internet. Khi tìm kiếm với từ khóa "kmspico", người dùng nhận về hàng triệu kết quả. Tuy nhiên trong đó, nhiều trang web chia sẻ các phần mềm giả mạo và chứa mã độc nguy hiểm. Các nhà nghiên cứu cho biết, trong một số trường hợp, CryptBot được đổi tên để giả làm KMSPico dụ người dùng tải về. Một số trường hợp khác, CryptBot ẩn trong file KMSPico và âm thầm cài được lên máy mà nạn nhân không hay biết.

Theo Bleeping Computer, việc tiết kiệm chi phí bằng cách sử dụng Windows lậu là ý tưởng tồi. "Nếu xảy ra sự cố, bị tấn công bởi ransomware hay bị đánh cắp tiền điện tử, số tiền thiệt hại sẽ lớn hơn nhiều so với chi phí mua Windows và Office bản quyền".