KMSPico infectado con troyano Vidar Stealer: Ciberdelincuentes utilizan herramienta activadora falsa para robar información de usuarios.

trojan virus

En el mundo de la ciberseguridad, las amenazas cibernéticas evolucionan continuamente. Los ciberdelincuentes buscan nuevas formas de comprometer la seguridad de los usuarios, ya sea mediante phishing, ataques de fuerza bruta o la explotación de vulnerabilidades en sistemas desactualizados.

En este caso, advertimos sobre un ataque que utiliza la herramienta activadora de Windows falsa llamada KMSPico para instalar el troyano Vidar Stealer, diseñado para robar información confidencial como contraseñas, datos bancarios y archivos personales.

¿Qué es KMSPico?

KMSPico es una herramienta no oficial utilizada para activar productos de Microsoft sin licencia. Aunque muchos usuarios la descargan buscando activar Windows u Office sin coste, su uso puede abrir las puertas a serios problemas de ciberseguridad.

KMSPico aprovecha los Key Management Services (KMS) de Microsoft, simulando ser un servidor KMS legítimo. Sin embargo, al descargarlo de fuentes no confiables, los usuarios arriesgan comprometer la seguridad de su sistema, ya que esta herramienta suele contener malware como Vidar Stealer.

¿Es seguro usar KMSPico?

No se recomienda usar KMSPico por varias razones:

  • Es ilegal: Microsoft no aprueba el uso de KMSPico y su uso podría considerarse una violación de los términos de servicio de Microsoft.
  • Puede ser peligroso: KMSPico a menudo se contiene malware que puede dañar su computadora o robar su información personal.
  • No es confiable: KMSPico puede dejar de funcionar en cualquier momento, lo que significa que sus productos de Microsoft podrían dejar de ser válidos.

Troyano Vidar Stealer

Vidar Stealer es un malware que se utiliza para robar información confidencial de los usuarios, como contraseñas, datos bancarios y archivos personales.

Se distribuye principalmente a través de herramientas activadoras falsas de Windows, como KMSPico, y se ha convertido en una de las amenazas más prevalentes para los usuarios de Windows en los últimos años.

¿Cómo funciona Vidar Stealer?

Vidar Stealer funciona de la siguiente manera:

  1. El usuario descarga una herramienta activadora falsa de Windows, como KMSPico.
  2. Al ejecutar la herramienta activadora, se instala el troyano Vidar Stealer en la computadora del usuario.
  3. El troyano Vidar Stealer se oculta en el sistema del usuario y comienza a recopilar información confidencial.
  4. La información robada se envía a los ciberdelincuentes a través de internet.

¿Qué información roba Vidar Stealer?

Vidar Stealer puede robar una amplia gama de información confidencial, incluyendo:

  • Contraseñas: Contraseñas de cuentas bancarias, redes sociales, correos electrónicos y otros sitios web.
  • Datos bancarios: Números de tarjetas de crédito, números de cuentas bancarias y otra información financiera.
  • Archivos personales: Documentos, fotos y otros archivos almacenados en la computadora del usuario.
  • Información del sistema: Información sobre el sistema operativo del usuario, la configuración del hardware y el software instalado.

KMS PICO

Detalles del ataque

Desde mayo de 2024, se ha detectado un ataque que involucraba una herramienta activadora KMSPico falsa. El ataque aprovechaba las dependencias de Java y un script de AutoIt malicioso para desactivar Windows Defender y, finalmente, descifrar la carga útil del troyano Vidar.

El ataque se desarrollaba de la siguiente manera:

  1. El usuario busca KMSPico en un motor de búsqueda y accede al primer resultado. Este sitio web falso (kmspico[.]ws) se promociona como un «activador universal» para Windows.
  2. El usuario descarga el archivo ZIP que contiene las dependencias de Java y el ejecutable malicioso Setuper_KMS-ACTIV.exe.
  3. Al ejecutar el archivo ZIP, se inicia javaw.exe, que deshabilita la supervisión del comportamiento en Windows Defender y descarga un script de AutoIt malicioso.
  4. El script de AutoIt inyecta la carga útil cifrada del troyano Vidar en el proceso AutoIt.
  5. El troyano Vidar roba información sensible del usuario y la envía a los ciberdelincuentes a través de Telegram.

Medidas de prevención

Para protegerte de este tipo de amenazas, es esencial implementar prácticas de seguridad de la información:

¿Tienes dudas con la ciberseguridad? ¡En Cibersafety podemos ayudarte!

En Cibersafety, entendemos la importancia de mantener la seguridad de tus datos en un entorno digital cada vez más complejo y amenazante. Explora nuestro conjunto de servicios y descubre cómo podemos ayudarte a proteger tu datos contra las amenazas cibernéticas. ¡Contáctanos hoy mismo para comenzar!

CONTACTA CON NOSOTROS

¿Tienes dudas? Te las resolvemos

    SOLUCIONES CIBERSEGURIDAD

    Consulta nuestros servicios

    formación ciberseguridad

    Formación y Concienciación en Ciberseguridad

    Equipo de respuesta a incidentes analizando un ciberataque

    Peritaje Informático

    Consultora experta en ciberseguridad

    Servicios Gestionados de Ciberseguridad

    Hackers profesionales haciendo un testeo sobre las lineas de seguridad de una empresa

    Respuesta a Incidentes

    Varios ordenadores portátiles y una máscara. Hacking ético.

    Hacking Ético

    Auditoría de Ciberseguridad

    Consultoría Ciberseguridad

    Multiple Factor Authentication

    Seguridad de Dispositivos

    Comunicaciones Seguras

    Monitorización y Análisis

    Vulnerability system

    Análisis de Vulnerabilidades

    Seguridad Aplicaciones

    Últimas entradas

    3 de diciembre de 2024
    El Instituto Nacional de Investigación y Tecnología Agraria y Alimentaria (INIA), uno de los principales centros del Consejo Superior de Investigaciones Científicas (CSIC) en España,...
    2 de diciembre de 2024
    Recientemente, se han identificado múltiples vulnerabilidades en OpenVPN, un software VPN muy utilizado, especialmente en entornos corporativos con modelos de trabajo remoto. Estas brechas de...
    2 de diciembre de 2024
    El pasado 1 de diciembre de 2024, el grupo de ransomware Trinity declaró haber comprometido a la Agencia Tributaria Española (AEAT), obteniendo presuntamente 560 GB...

    SESIÓN DE CONSULTORÍA

    Solicita una sesión de consultoría GRATIS

      GUÍAS

      Consigue la guía definitiva de Ciberseguridad para proteger empresas GRATIS

        guías

        Consigue la guía definitiva de Ciberseguridad para empresas del sector turístico GRATIS

          SESIÓN DE CONSULTORÍA

          Consigue la guía definitiva para implementar la normativa NIS2 en empresas GRATIS

            SESIÓN DE CONSULTORÍA

            Consigue la guía definitiva para proteger tu negocio en empresas en 2025 GRATIS

              SESIÓN DE CONSULTORÍA

              Consigue la guía para identificar las vulnerabilidades de tu empresa GRATIS

                SESIÓN DE CONSULTORÍA

                Consigue la guía sobre inteligencia artificial en ciberseguridad GRATIS

                  SESIÓN DE CONSULTORÍA

                  Conoce los 3 pilares básicos de ciberseguridad en pymes GRATIS