Cuidado con KMSPico para “activar” tu Windows u Office

KMSPico es uno de los desarrollos más populares para ”activar” los productos de Microsoft como los sistemas operativos Windows y las suites Office. Esta acción es ilegal, por supuesto, pero funciona muy bien en su tarea de “hacktivation” KMSPico es un crackeador que emula un servidor del Windows Key Management Services (KMS) para activar las licencias de Windows u Office. Se puede encontrar en páginas web, foros o redes torrent por separado o incluido con los productos que piratea. Microsoft no parece muy preocupado de su uso en consumo bajo la estrategia (no declarada) que siempre es mejor que uses un Windows pirata antes que te cambies a Linux o macOS o que instales una Office pirata antes que LibreOffice. Este software pirata, se usa en empresas, hogares y en una gran cantidad de dispositivos De ahí que muchos ciberdelincuentes aprovechen su demanda para poder agregarle instaladores modificados para distribuir su malware. KMSPico para distribuir malware Desde la firma de seguridad Red Canary han alertado de un instalador falso de KMSPico que está circulando por Internet. Está alterado para infectar equipos Windows, es capaz de insertar malware y realizar actividades maliciosas como el robo de carteras de criptomonedas.

El desarrollo malicioso se entrega en un ejecutable autoextraíble bajo 7-Zip que incluye e instala el emulador KMS real para que la víctima no sospeche. Pero por detrás, la verdadera intención es instalar Cryptobot, un troyano especializado en robar las credenciales e información sensible de una lista de aplicaciones que usamos millones de usuarios, especialmente navegadores web y carteras de criptomonedas como: • Atomic • Avast Secure • Brave • Ledger Live • Opera Web • Waves Client y Exchange • Coinomi • Google Chrome • Jaxx Liberty • Electron Cash • Electrum • Exodus • Monero • MultiBitHD • Mozilla Firefox • CCleaner • Vivaldi El malware usa el empaquetador CypherIT que ofusca al instalador para evitar que el software de seguridad instalado lo detecte. También lanza un script oculto capaz de detectar entornos sandbox y emulación AV. Las operaciones de Cryptbot ya que no se basan en la existencia de binarios no cifrados en el disco y su detección solo es posible monitorizando el comportamiento malicioso, como la ejecución de comandos de PowerShell o la comunicación de red externa. De ahí que no sea sencillo de detectar lo que añade una mayor peligrosidad a este KMSPico modificado.