KMSPico: ¿no quieres comprar una licencia de Windows? ¡Dile adiós a los datos!

La empresa de ciberseguridad eSentire informó de una nueva operación para distribuir el infostealer Vidar a través de sitios web falsos que se hacen pasar por herramientas populares en todo el mundo para activar Windows, como KMSPico.

KMSPico y otros productos de la serie KMS son herramientas ilegales para activar Windows y otros productos de Microsoft, eludiendo las restricciones de licencia. Los usuarios a menudo los buscan en Internet para activar su software de forma gratuita sin comprar una licencia. Sin embargo, estas herramientas a menudo se utilizan por ciberdelincuentes para distribuir malware.

En el incidente analizado por eSentire, un usuario accedió al sitio «kmspico[.]ws» y casi descargó un activador infectado con un virus. Después de un análisis exhaustivo del sitio y su contenido, los expertos llegaron a las siguientes conclusiones:

«El sitio»kmspico[.]ws» está protegido por el sistema CAPTCHA de Cloudflare Turnstile y requiere ingresar un código para descargar el paquete ZIP final», señalaron en eSentire. «Estos pasos son muy inusuales para sitios web legítimos de descarga y están diseñados para ocultar la página y el archivo malicioso final de los escáneres web automatizados».

En el archivo ZIP descargado y analizado por los expertos, había dependencias de Java y un archivo ejecutable llamado «Setuper_KMS-ACTIV.exe». Al ejecutarse, este archivo desactivaba el monitoreo de comportamiento en Windows Defender e iniciaba un script de AutoIt. El script de AutoIt, a su vez, descifraba y ejecutaba el malware Vidar Stealer.

Vidar en sí es un conocido ladrón de datos. El malware puede recopilar inicios de sesión, contraseñas, historial de navegador, archivos de cookies, datos de autocompletado, así como información financiera como datos de tarjetas bancarias y billeteras criptográficas. Los datos recopilados se envían a un servidor de comando y control, donde los ciberdelincuentes pueden acceder a ellos.

En esta campaña, Vidar Stealer usó Telegram para almacenar la dirección IP del servidor de C2, ocultándola en servicios legítimos. Este método permite a los ciberdelincuentes controlar los sistemas infectados sin exponer su infraestructura.

Ataques similares que utilizan ingeniería social a menudo emplean sitios falsos que imitan software legítimo, como Advanced IP Scanner. Según un reciente informe de Trustwave SpiderLabs, los ciberdelincuentes han estado usando este último para distribuir Cobalt Strike.

Por lo tanto, se puede concluir que cualquier software, ya sean programas con licencia oficial o no, solo debe descargarse de fuentes confiables y dignas de confianza. La mayoría de los sitios dudosos que ofrecen diversos programas informáticos terminan siendo nidos de malware cuidadosamente ocultos de los sistemas automáticos de escaneo web.