Canal de Telegram

22 dic 2021

Segu-Info » » Utilizan KMSPico para infectar y robar criptomonedas

Utilizan KMSPico para infectar y robar criptomonedas

22 dic 2021, 10:52:00 a.m.   Comenta primero!
   

Los usuarios que buscan activar Windows sin usar una licencia o clave de producto están siendo atacados por instaladores de malware diseñado para robar credenciales y otra información de billeteras de criptomonedas.

El malware, denominado "CryptBot" (muestra descargado desde official-kmspico[.]com), es capaz de obtener credenciales desde los navegadores, billeteras de criptomonedas, cookies de navegador, tarjetas de crédito y realizar capturas de pantalla de los sistemas infectados. El último ataque involucra al malware disfrazado de KMSPico.

KMSPico es una herramienta no oficial que se utiliza KMS para activar ilícitamente todas las funciones de las copias pirateadas de Microsoft de Windows y Office sin tener realmente una clave o licencia. A su vez, el KMSPico real es detectado como Potentially Unwanted Program PUP o Hacktool por los antivirus (detalle).

"El usuario se infecta al hacer clic en uno de los enlaces maliciosos y descargar KMSPico con Cryptbot. Los adversarios también instalan KMSPico, porque eso es lo que la víctima espera que suceda, mientras que simultáneamente implementan Cryptbot detrás de escena.", dijo el investigador de Red Canary Tony Lambert en un informe [PDF] publicado la semana pasada.

Cryptbot es capaz de recolectar datos de las siguientes aplicaciones:

  • Atomic cryptocurrency wallet
  • Avast Secure web browser
  • Brave browser
  • Ledger Live cryptocurrency wallet
  • Opera Web Browser
  • Waves Client and Exchange cryptocurrency applications
  • Coinomi cryptocurrency wallet
  • Google Chrome web browser
  • Jaxx Liberty cryptocurrency wallet
  • Electron Cash cryptocurrency wallet
  • Electrum cryptocurrency wallet
  • Exodus cryptocurrency wallet
  • Monero cryptocurrency wallet
  • MultiBitHD cryptocurrency wallet
  • Mozilla Firefox web browser
  • CCleaner web browser
  • Vivaldi web browser

La firma de ciberseguridad dijo que también observó que varios departamentos de TI usaban el software ilegítimo en lugar de licencias válidas de Microsoft para activar sistemas, y agregó que los instaladores KMSpico alterados se distribuyen a través de varios sitios web que afirman ofrecer la versión "oficial" del activador.

Esto está lejos de ser la primera vez que surge un software crackeado como un conducto para implementar malware. En junio de 2021, la compañía checa de software de ciberseguridad Avast reveló una campaña denominada "Crackonosh" que involucraba la distribución de copias ilegales de software popular para ingresar y abusar de las máquinas comprometidas para extraer criptomonedas, lo que le reportó al atacante más de U$S 2 millones en ganancias.

Fuente: THN

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!