Una herramienta conocida para activar algunos productos de Microsoft, es KMSPico. Se trata de una herramienta que emula un servidor KMS para activar licencias de forma fraudulenta. KMSPico es popular entre los usuarios que quieren ejecutar Windows y Office, tratando de ahorrarse un dinero; sin embargo, una mala búsqueda podría llegar a dar con un instalador falso, donde esta herramienta, a parte de activarle su sistema, le estaría robando sus criptomonedas.
A través de Red Canary, dan a conocer una versión modificada de KMSPico para infectar el sistema operativo con malware que roba carteras de criptomonedas.
Los investigadores de Red Canary, dieron a conocer que el falso KMSPico también instala el verdadero, para que el usuario no sospeche de lo que está pasando. Este instalador funciona con la ayuda de un crytobot.
El usuario se infecta al hacer clic en uno de los enlaces maliciosos y descarga KMSPico, Cryptbot u otro malware sin KMSPico, explica un análisis técnico de la campaña.
Los adversarios también instalan KMSPico, porque eso es lo que la víctima espera que suceda, mientras que simultáneamente implementan Cryptbot detrás de escena.
El KMSPico falso abarca varios navegadores web
Cryptbot es capaz de recopilar información confidencial de las siguientes aplicaciones:
- Billetera de criptomonedas atómicas
- Navegador web Avast Secure
- Navegador Brave
- Cartera de criptomonedas Ledger Live
- Navegador web Opera
- Aplicaciones de criptomonedas Waves Client y Exchange
- Navegador web Google Chrome
- Cartera de criptomonedas Jaxx Liberty
- Billetera de criptomonedas Exodus
- Cartera de criptomonedas Electron Cash
- Cartera de criptomonedas Electrum
- Billetera de criptomonedas Monero
- Cartera de criptomonedas MultiBitHD
- Navegador web Mozilla Firefox
- Billetera de criptomonedas Coinomi
- Navegador web CCleaner
- Navegador web Vivaldi
Red Canary también se dio cuenta que no solo los usuarios utilizan esta técnica, los investigadores afirman que varios departamentos de TI usan esta herramienta. Por lo tanto, una versión modificada de KMSPico resultar ser un peligro para estos casos.
Hemos observado que varios departamentos de TI utilizan KMSPico en lugar de licencias legítimas de Microsoft para activar sistemas.
Lo recomendable es evitar el uso de software ilegal, ya que no vale la pena hacer uso de un software pirata para ahorrarse costos de licencia, si al final de cuenta su sistema operativo junto con sus datos pueden estar en riesgo, llegando a caer en manos de delincuentes.
Más información: Red Canary
