Noticias

Instaladores KMSPico maliciosos para robar wallets de criptomonedas

«Cuando el producto es gratis, es porque el producto eres tú», y esta cita se lleva al extremo en la piratería.  Ciberdelincuentes han alterado instaladores KMSPico maliciosos para infectar dispositivos Windows con un malware, y así robar las wallets instaladas.

Gracias a los investigadores de Red Canary, una conocida empresa que se dedica a la ciberseguridad, se ha detectado dichos instaladores maliciosos. Además, esto no es algo solo de este instalador, sino que cualquier instalador usado para la piratería tiene algún malware para minar criptomonedas o robar las tuyas propias.

KMSPico es un popular instalador y activador de productos de Microsoft, tales como Windows u Office que emula el servicio que usa estos productos para verificar la licencia, llamado Windows Key Management Services (KMS), de forma ilegal. 

Según Red Canary, KMSPico es muy usado en pequeñas empresas y startups que buscan el ahorro del coste de las licencias en sus etapas tempranas. Lo que a la larga, el coste le sale muy caro cuando se produce el robo de wallets, cuentas bancarias o sus equipos son secuestrados mediante un ransomware.

«Hemos observado varios departamentos de TI que utilizan KMSPico en lugar de licencias legítimas de Microsoft para activar sistemas», explicó el analista de inteligencia de Red Canary, Tony Lambert.

Instaladores KMSPico maliciosos.

Podemos encontrar los instaladores de KMSPico a través de páginas webs dedicada a la piratería.  Donde los instaladores son contaminados con un adware o malware para el sistema operativo de instalación.

Con una simple búsqueda de google, podemos encontrar más de 2 millones de coincidencia. Además que las primeras páginas son web piratas para descargar el instalador.  Todos ellos afirman ser el sitio oficial del instalador para ganarse la confianza del usuario.

Instaladores KMSPico maliciosos para robar wallets de criptomonedas.
Búsqueda en Google de KMSPico

Gracias al análisis de Red Canary, podemos ver que el instalador viene con un ejecutable autoextraíble, como un 7-zip o Winrar, y contienen tanto el KMS real como el Cryptbot.

«El usuario es infectado solo con hacer clic en uno de los enlaces maliciosos y descarga KMSPico, Cryptbot u otro malware sin KMSPico«, explica un análisis técnico de la campaña. La instalación del KMS es solo una distracción mientras se instala el malware, y alargando los tiempos de espera de la activación para dar tiempo al malware a infectar el sistema. 

El malware está envuelto por el packer CypherIT que ofusca el instalador para evitar que sea detectado por el software de seguridad. Este instalador lanza entonces un script también fuertemente ofuscado, que es capaz de detectar las cajas de arena y la emulación AV, por lo que no se ejecutará cuando se ejecute en los dispositivos del investigador.

Instaladores KMSPico maliciosos para robar wallets de criptomonedas.
Código Ofuscado de CriptBot

Además, Cryptbot comprueba la presencia de «%APPDATA%\Ramson» y ejecuta su rutina de autoeliminación si la carpeta existe para evitar la reinfección. Es decir, evitar que ambos malware se pisen o arriesgarse a que el antivirus detecte a ambos. 

Aplicaciones afectada por Cryptbot

En resumen, Cryptbot es capaz de recoger datos de las siguientes aplicaciones:

  • Atomic cryptocurrency wallet
  • Navegador Avast Secure web
  • Navegador Brave
  • Ledger Live cryptocurrency wallet
  • Navegador Opera Web
  • Waves Client and Exchange cryptocurrency applications
  • Coinomi cryptocurrency wallet
  • Google Chrome web browser
  • Jaxx Liberty cryptocurrency wallet
  • Electron Cash cryptocurrency wallet
  • Electrum cryptocurrency wallet
  • Exodus cryptocurrency wallet
  • Monero cryptocurrency wallet
  • MultiBitHD cryptocurrency wallet
  • Navegador Mozilla Firefox web
  • Navegador CCleaner web
  • Navegador Vivaldi web

Dado que el funcionamiento de Cryptbot no depende de la existencia de binarios sin cifrar en el disco, su detección sólo es posible mediante la monitorización de comportamientos maliciosos como la ejecución de comandos PowerShell o la comunicación de red externa.

La realidad es que la pérdida de ingresos debido a la respuesta a incidentes, los ataques de ransomware y el robo de criptomonedas por la instalación de software pirata podría ser mayor que el coste de las licencias reales de Windows y Office.

Así que si quieres probar en nuevo Windows 11 y saber más de como conseguir las licencias de forma legal y segura, te recomendamos los siguientes artículos.

 

Amparo Chirivella González

Chica Geek y Artista 3D para videojuegos. Me gusta ver crecer la nueva tecnología e implementarla en mis trabajos.
Los datos de carácter personal que nos facilite mediante este formulario quedarán registrados en un fichero de Miguel Ángel Navas Carrera, con la finalidad de gestionar los comentarios que realizas en este blog. La legitimación se realiza a través del consentimiento del interesado. Si no se acepta no podrás comentar en este blog. Puedes consultar Política de privacidad. Puede ejercitar los derechos de acceso, rectificación, cancelación y oposición en [email protected]
Botón volver arriba