Los instaladores de KMSPico roban tus billeteras de criptomonedas

bitcoin-robo

Tal y como avisan desde la web https://www.bleepingcomputer.com/news/security/malicious-kmspico-installers-steal-your-cryptocurrency-wallets/ hackers maliciosos están distribuyendo instaladores de KMSpico alterados para infectar dispositivos Windows con malware que roba carteras de criptomonedas.

¿Qué es KMSpico, para empezar?

KMSpico es un popular activador de productos de Microsoft Windows y Office que emula un servidor de Windows Key Management Services (KMS) para activar licencias de forma fraudulenta. Es decir, te permite activar estos productos sin pagar por ellos.

¿Y quien se instalaría un software así para ahorrarse 10€?  Pues parece que miles de usuarios y (aún peor) empresas. El software (KMSPico) se distribuye comúnmente a través de software pirateado y sitios de cracks que envuelven la herramienta en instaladores que contienen adware y malware.

El malware está envuelto por el empaquetador CypherIT que ofusca al instalador para evitar que el software de seguridad lo detecte. Este instalador luego lanza un script que también está muy ofuscado, que es capaz de detectar entornos sandbox y emulación AV.  Además, Cryptobot comprueba la presencia de “% APPDATA% \ Ramson” y ejecuta su rutina de eliminación automática si la carpeta existe para evitar una reinfección. La inyección de los bytes de Cryptbot en la memoria se produce a través del método de vaciado del proceso.

En resumen, Cryptbot es capaz de recopilar datos confidenciales de las siguientes aplicaciones:

  • Atomic cryptocurrency wallet
  • Avast Secure web browser
  • Brave browser
  • Ledger Live cryptocurrency wallet
  • Opera Web Browser
  • Waves Client and Exchange cryptocurrency applications
  • Coinomi cryptocurrency wallet
  • Google Chrome web browser
  • Jaxx Liberty cryptocurrency wallet
  • Electron Cash cryptocurrency wallet
  • Electrum cryptocurrency wallet
  • Exodus cryptocurrency wallet
  • Monero cryptocurrency wallet
  • MultiBitHD cryptocurrency wallet
  • Mozilla Firefox web browser
  • CCleaner web browser
  • Vivaldi web browser

Debido a que el funcionamiento de Cryptbot no se basa en la existencia de binarios no cifrados en el disco, su detección solo es posible mediante la supervisión de comportamientos maliciosos como la ejecución de comandos de PowerShell o la comunicación de red externa.

En resumen, si pensabsa que KSMPico es una forma inteligente de ahorrar en costos de licencia innecesarios, lo anterior ilustra por qué es una mala idea.

La realidad es que la pérdida de ingresos debido a la respuesta a incidentes, los ataques de ransomware y el robo de criptomonedas por la instalación de software pirateado podría ser mayor que el costo de las licencias reales de Windows y Office.

Etiqueta:,

author avatar
rserra

Deja una respuesta

Tu dirección de correo electrónico no será publicada.