KMSPico es uno de los desarrollos más populares para «activar» las licencias de productos de Microsoft como los sistemas operativos Windows y las suites Office.
KMSPico es un activador que emula un servidor del Windows Key Management Services (KMS) para activar las licencias de Windows u Office. Se puede encontrar en páginas web, foros o redes torrent por separado o incluido con los productos que piratea. Microsoft no parece muy preocupado de su uso en consumo bajo la estrategia (no declarada) que siempre es mejor que uses un Windows pirata antes que te cambies a Linux o macOS o que instales una Office pirata antes que LibreOffice.
Modifican instalador de KMSPico para distribuir malware y robar carteras de criptomonedas
También se usa en empresas y en muchos departamentos de TI. Es algo de lo que se ha hablado mucho y forma parte de otra historia. La que nos ocupa va del uso de instaladores modificados para distribuir malware, algo que los ciberdelincuentes realizan de manera insistente aprovechando cualquier software o servicio de alta demanda.
KMSPico para distribuir malware para robar criptomonedas
Desde la firma de seguridad Red Canary han alertado de un instalador falso de KMSPico que está circulando por Internet. Está alterado para infectar equipos Windows, es capaz de insertar malware y realizar actividades maliciosas como el robo de carteras de criptomonedas.
El desarrollo malicioso se entrega en un ejecutable autoextraíble bajo 7-Zip que incluye e instala el emulador KMS real para que la víctima no sospeche. Pero por detrás, la verdadera intención es instalar Cryptobot, un troyano especializado en robar las credenciales e información sensible de una lista de aplicaciones que usamos millones de usuarios, especialmente navegadores web y carteras de criptomonedas como:
Atomic
Avast Secure
Brave
Ledger Live
Opera Web
Waves Client y Exchange
Coinomi
Google Chrome
Jaxx Liberty
Electron Cash
Electrum
Exodus
Monero
MultiBitHD
Mozilla Firefox
CCleaner
Vivaldi
El malware usa el empaquetador CypherIT que ofusca al instalador para evitar que el software de seguridad instalado lo detecte. También lanza un script oculto capaz de detectar entornos sandbox y emulación AV. Las operaciones de Cryptbot ya que no se basan en la existencia de binarios no cifrados en el disco y su detección solo es posible monitorizando el comportamiento malicioso, como la ejecución de comandos de PowerShell o la comunicación de red externa.
#Officepirata #Windowspirata #licenciasdeWindows #KMSPico #WindowsKeyManagement #ciberdelincuentes #Cryptbot
Referencias y Créditos:
José Montes. (2021, diciembre 7). Cuidado con los KMSPico que usas para piratear Windows u Office: algunos tienen ‘premio'. muycomputer.com. Extraído el 9 de diciembre del 2021 desde: https://blog.elhacker.net/2021/12/descubiertos-falsos-instaladores-kmspico-para-activar-windows-office-con-malware.html
Comments