Han sido descubiertas versiones modificadas del famoso activador KMSPico que contienen un malware que roba criptomonedas.
Investigadores en seguridad, han descubierto recientemente que los ciberdelincuentes están distribuyendo un malware que roba los accesos de billeteras digitales de criptomonedas, junto con el software KMSPico, que es usado para activar versiones “piratas” de productos Microsoft como Windows u Office.
Según estudios realizados por la empresa de seguridad informática RedCanary, algunas versiones de KMSPico están siendo distribuídas cojuntamente con el malware Cryptbot. Dicho instalador, viene empaquetado con con un ejecutable autoextrabile (7-zip o winrar) , que contiene el KMSPico real y también el Cryptbot. Este malware por su vez, está envuelto por el packer CypherIT que evita que sea detectado por los softwares de seguridad.
Según RedCanary, esta variante de Crypbot está enfocada a robar las credenciales de acceso de diversas plataformas de servicios de billeteras digitales de criptomonedas, que puntualmente son:
Además de las billeteras digitales de criptomonedas, Cryptbot puede robar información de los siguientes navegadores web:
KMSPico es un programa no oficial utilizado para la activación de productos Microsoft y es fácilmente encontrado en internet. Este emula el Windows Key Management Services (KMS) para liberar, de forma fraudulenta, el uso del Windows o Microsoft Office.
No sólamente usuarios domésticos utilizan este tipo de activadores “gratuitos”, sino que muchas veces son utilizados por departamentos de TI de las empresas, lo que aumenta severamente el riesgo a estar expuesto este tipo de vulnerabilidades.
Por tanto, no es recomendable el uso de estos activadores, pues además de traer problemas éticos e incluso legales por el uso de licencias piratas, puede ocasionar riesgos en la seguridad y hasta conllevar a pérdidas económicas, que pueden superar fácilmente el costo de una licencia original.