top of page
Foto del escritorCyberpeace Tech

Quedan al descubierto instaladores para activar Windows y Office

KMSPico es uno de los desarrollos más populares para «activar» las licencias de productos de Microsoft como los sistemas operativos Windows y las suites Office.

Piratería y malware

KMSPico es un activador que emula un servidor del Windows Key Management Services (KMS) para activar las licencias de Windows u Office. Se puede encontrar en páginas web, foros o redes torrent por separado o incluido con los productos que piratea. Microsoft no parece muy preocupado de su uso en consumo bajo la estrategia (no declarada) que siempre es mejor que uses un Windows pirata antes que te cambies a Linux o macOS o que instales una Office pirata antes que LibreOffice.


Modifican instalador de KMSPico para distribuir malware y robar carteras de criptomonedas


También se usa en empresas y en muchos departamentos de TI. Es algo de lo que se ha hablado mucho y forma parte de otra historia. La que nos ocupa va del uso de instaladores modificados para distribuir malware, algo que los ciberdelincuentes realizan de manera insistente aprovechando cualquier software o servicio de alta demanda.


KMSPico para distribuir malware para robar criptomonedas


Hombre de negocios con hologramas de criptomonedas

Desde la firma de seguridad Red Canary han alertado de un instalador falso de KMSPico que está circulando por Internet. Está alterado para infectar equipos Windows, es capaz de insertar malware y realizar actividades maliciosas como el robo de carteras de criptomonedas.


El desarrollo malicioso se entrega en un ejecutable autoextraíble bajo 7-Zip que incluye e instala el emulador KMS real para que la víctima no sospeche. Pero por detrás, la verdadera intención es instalar Cryptobot, un troyano especializado en robar las credenciales e información sensible de una lista de aplicaciones que usamos millones de usuarios, especialmente navegadores web y carteras de criptomonedas como:


  1. Atomic

  2. Avast Secure

  3. Brave

  4. Ledger Live

  5. Opera Web

  6. Waves Client y Exchange

  7. Coinomi

  8. Google Chrome

  9. Jaxx Liberty

  10. Electron Cash

  11. Electrum

  12. Exodus

  13. Monero

  14. MultiBitHD

  15. Mozilla Firefox

  16. CCleaner

  17. Vivaldi


El malware usa el empaquetador CypherIT que ofusca al instalador para evitar que el software de seguridad instalado lo detecte. También lanza un script oculto capaz de detectar entornos sandbox y emulación AV. Las operaciones de Cryptbot ya que no se basan en la existencia de binarios no cifrados en el disco y su detección solo es posible monitorizando el comportamiento malicioso, como la ejecución de comandos de PowerShell o la comunicación de red externa.




Referencias y Créditos:
  • José Montes. (2021, diciembre 7). Cuidado con los KMSPico que usas para piratear Windows u Office: algunos tienen ‘premio'. muycomputer.com. Extraído el 9 de diciembre del 2021 desde: https://blog.elhacker.net/2021/12/descubiertos-falsos-instaladores-kmspico-para-activar-windows-office-con-malware.html

0 comentarios

Comments


bottom of page