Los usuarios que buscan activar Windows sin usar una licencia digital o una clave de producto están siendo atacados por instaladores contaminados para implementar malware diseñado para saquear credenciales y otra información en billeteras de criptomonedas.
El malware, denominado " CryptBot " , es un ladrón de información capaz de obtener credenciales para navegadores, billeteras de criptomonedas, cookies de navegador, tarjetas de crédito y capturar capturas de pantalla de los sistemas infectados. Implementado a través de software descifrado, el último ataque involucra al malware disfrazado de KMSPico.
KMSPico es una herramienta no oficial que se utiliza para activar ilícitamente todas las funciones de copias pirateadas de software como Microsoft Windows y la suite Office sin tener realmente una clave de licencia.
"El usuario se infecta haciendo clic en uno de los enlaces maliciosos y descargar cualquiera KMSPico, Cryptbot, u otro software malicioso sin KMSPico", el investigador Canario Rojo Tony Lambert dijo en un informe publicado la semana pasada. "Los adversarios también instalan KMSPico, porque eso es lo que la víctima espera que suceda, mientras que simultáneamente implementan Cryptbot detrás de escena".
La firma estadounidense de ciberseguridad dijo que también observó que varios departamentos de TI usaban software ilegítimo en lugar de licencias válidas de Microsoft para activar sistemas, y agregó que los instaladores KMSpico alterados se distribuyen a través de varios sitios web que afirman ofrecer la versión "oficial" del activador.
Esto está lejos de ser la primera vez que surge un software crackeado como un conducto para implementar malware. En junio de 2021, la compañía checa de software de ciberseguridad Avast reveló una campaña denominada " Crackonosh " que involucraba la distribución de copias ilegales de software popular para ingresar y abusar de las máquinas comprometidas para extraer criptomonedas, lo que le reportó al atacante más de $ 2 millones en ganancias.