Los piratas informáticos están infectando activadores de Windows como KMSPico para robar de las billeteras de criptomonedas
Por qué es importante: la piratería de software no es nueva, pero con la proliferación de "activadores" para Windows y Office, también hay actores maliciosos que luchan para aprovecharse de los usuarios desprevenidos que utilizan dichas herramientas. Sus víctimas hacen esto creyendo que ahorran en costos de licencias de software, pero al mismo tiempo exponen sus sistemas a malware sofisticado que evade la detección de las soluciones antivirus comerciales y puede robar información confidencial.
Si está comprando o construyendo una nueva PC, es probable que necesite comprar una licencia de Windows para ella. Muchas personas no están dispuestas a desprenderse de más de $100 para obtener una, por lo que a menudo recurren a la compra de claves baratas en sitios web del mercado gris o al uso de uno de los varios "activadores" disponibles en línea. La última opción siempre es un movimiento arriesgado, pero históricamente no ha causado ningún daño importante a la mayoría de los usuarios que siguieron ese camino.
Según los investigadores de seguridad de Red Canary, los actores maliciosos modificaron recientemente una de estas herramientas para distribuir malware que puede robar tokens de las billeteras de criptomonedas. La herramienta en cuestión es KMSPico, que puede emular un servidor de Key Management Services (KMS) localmente para activar licencias para productos de Windows y Office.
Uno de los instaladores maliciosos de KMSPico analizados por los investigadores viene con el malware Cryptbot que puede robar credenciales y otra información confidencial de los navegadores web instalados en su PC. También afecta a varios monederos de criptomonedas como Ledger Live, Atomic, Electrum, Exodus, Coinomi y más. Más importante aún, se puede usar para eliminar malware bancario como Danabot o cualquier otra carga útil maliciosa.
También vale la pena señalar que el malware Cryptbot es difícil de detectar, ya que sus creadores usan varios métodos para escapar de la detección de las soluciones antivirus tradicionales, incluidos los archivos binarios cifrados. De cualquier manera, esto prueba que tomar la ruta de la piratería en el caso de Windows y Office no vale la pena si se consideran los riesgos involucrados. En todo caso, comprar una PC que venga con Windows preinstalado cuando esté en oferta podría ser la mejor manera de ahorrar dinero en el frente de las licencias.
El analista de inteligencia de Red Canary, Tony Lambert, dice que no solo los usuarios domésticos habituales utilizan esta herramienta. Muchas pequeñas empresas intentan ahorrar en costos de licencias mediante el uso de copias pirateadas de Windows y Office activadas mediante KMSPico, lo que presenta muchos riesgos de seguridad para su infraestructura de TI. Lambert señala que la empresa incluso "experimentó un compromiso de respuesta a incidentes desafortunado en el que nuestro socio de IR no pudo remediar un entorno debido a que la organización no tenía una sola licencia válida de Windows en el entorno".
Crédito de cabecera: Arget |a través de Unsplash