Lo vengo diciendo y hablando desde hace un tiempo, hoy se pueden conseguir licencias de Windows por 5 a 8 dólares, y es por eso que no vale la pena arriesgar nuestras PC para activar Windows con esos activadores de dudosa procedencia.
Y por que digo esto, en esta semana supimos que están utilizando al famoso activador de Windows KMSpico para robar billeteras de criptomonedas.
Como muchos seguramente saben, KMSPico es un popular activador de productos de Microsoft Windows y Office que emula un servidor de Windows Key Management Services (KMS) para activar licencias de forma fraudulenta.
Según Red Canary, muchos departamentos de TI que utilizan KMSPico en lugar de licencias legítimas de software de Microsoft son mucho más grandes de lo que cabría esperar, y esto es un serio problema.
«Hemos observado que varios departamentos de TI utilizan KMSPico en lugar de licencias legítimas de Microsoft para activar sistemas», explicó el analista de inteligencia de Red Canary, Tony Lambert.
«De hecho, incluso experimentamos un desafortunado compromiso de respuesta a incidentes en el que nuestro socio de IR no pudo remediar un entorno debido a que la organización no tenía ni una sola licencia válida de Windows en el entorno».
Parece ser que un archivo ejecutable autoextraíble con 7-Zip contiene tanto el emulador real de servidor KMS y ademas un Cryptbot.
«El usuario se infecta al hacer clic en uno de los enlaces maliciosos y descarga KMSPico, Cryptbot u otro malware sin KMSPico», explica el análisis técnico de la campaña.
«Los atacantes instalan también KMSPico, porque es lo que la víctima espera que ocurra, mientras que simultáneamente despliegan Cryptbot entre bastidores».
El malware está envuelto por el packer CypherIT, con esto evita que sea detectado por el software de seguridad. Una vez instalado, es capaz de recopilar información muy sensible de las siguientes aplicaciones:
- La wallet de criptomonedas Atomic
- Navegador web Avast Secure
- Navegador web Brave
- La wallet de criptomonedas Ledger Live
- Navegador web Opera
- El cliente y exchange Waves
- La wallet de criptomonedas Coinomi
- Navegador web Google Chrome
- La wallet de criptomonedas Jaxx Liberty
- La wallet de criptomonedas Electron Cash
- La wallet de criptomonedas Electrum
- La wallet de criptomonedas Exodus
- La wallet de criptomonedas Monero
- La wallet de criptomonedas MultiBitHD
- Navegador web Mozilla Firefox
- Navegador web CCleaner
- Navegador web Vivaldi
En resumen, si pensaban que KSMPico era una forma inteligente de ahorrar en costos innecesarios de licencia, con todo esto, espero que quede claro que es una mala idea.