En el mundo de la ciberseguridad, las amenazas cibernéticas evolucionan continuamente. Los ciberdelincuentes buscan nuevas formas de comprometer la seguridad de los usuarios, ya sea mediante phishing, ataques de fuerza bruta o la explotación de vulnerabilidades en sistemas desactualizados.

En este caso, advertimos sobre un ataque que utiliza la herramienta activadora de Windows falsa llamada KMSPico para instalar el troyano Vidar Stealer, diseñado para robar información confidencial como contraseñas, datos bancarios y archivos personales.

¿Qué es KMSPico?

KMSPico es una herramienta no oficial utilizada para activar productos de Microsoft sin licencia. Aunque muchos usuarios la descargan buscando activar Windows u Office sin coste, su uso puede abrir las puertas a serios problemas de ciberseguridad.

KMSPico aprovecha los Key Management Services (KMS) de Microsoft, simulando ser un servidor KMS legítimo. Sin embargo, al descargarlo de fuentes no confiables, los usuarios arriesgan comprometer la seguridad de su sistema, ya que esta herramienta suele contener malware como Vidar Stealer.

¿Es seguro usar KMSPico?

No se recomienda usar KMSPico por varias razones:

• Es ilegal: Microsoft no aprueba el uso de KMSPico y su uso podría considerarse una violación de los términos de servicio de Microsoft.
• Puede ser peligroso: KMSPico a menudo se contiene malware que puede dañar su computadora o robar su información personal.
• No es confiable: KMSPico puede dejar de funcionar en cualquier momento, lo que significa que sus productos de Microsoft podrían dejar de ser válidos.

Troyano Vidar Stealer

Vidar Stealer es un malware que se utiliza para robar información confidencial de los usuarios, como contraseñas, datos bancarios y archivos personales.

Se distribuye principalmente a través de herramientas activadoras falsas de Windows, como KMSPico, y se ha convertido en una de las amenazas más prevalentes para los usuarios de Windows en los últimos años.

¿Cómo funciona Vidar Stealer?

Vidar Stealer funciona de la siguiente manera:

1. El usuario descarga una herramienta activadora falsa de Windows, como KMSPico.
2. Al ejecutar la herramienta activadora, se instala el troyano Vidar Stealer en la computadora del usuario.
3. El troyano Vidar Stealer se oculta en el sistema del usuario y comienza a recopilar información confidencial.
4. La información robada se envía a los ciberdelincuentes a través de internet.

¿Qué información roba Vidar Stealer?

Vidar Stealer puede robar una amplia gama de información confidencial, incluyendo:

• Contraseñas: Contraseñas de cuentas bancarias, redes sociales, correos electrónicos y otros sitios web.
• Datos bancarios: Números de tarjetas de crédito, números de cuentas bancarias y otra información financiera.
• Archivos personales: Documentos, fotos y otros archivos almacenados en la computadora del usuario.
• Información del sistema: Información sobre el sistema operativo del usuario, la configuración del hardware y el software instalado.

Detalles del ataque

Desde mayo de 2024, se ha detectado un ataque que involucraba una herramienta activadora KMSPico falsa. El ataque aprovechaba las dependencias de Java y un script de AutoIt malicioso para desactivar Windows Defender y, finalmente, descifrar la carga útil del troyano Vidar.

El ataque se desarrollaba de la siguiente manera:

1. El usuario busca KMSPico en un motor de búsqueda y accede al primer resultado. Este sitio web falso (kmspico[.]ws) se promociona como un «activador universal» para Windows.
2. El usuario descarga el archivo ZIP que contiene las dependencias de Java y el ejecutable malicioso Setuper_KMS-ACTIV.exe.
3. Al ejecutar el archivo ZIP, se inicia javaw.exe, que deshabilita la supervisión del comportamiento en Windows Defender y descarga un script de AutoIt malicioso.
4. El script de AutoIt inyecta la carga útil cifrada del troyano Vidar en el proceso AutoIt.
5. El troyano Vidar roba información sensible del usuario y la envía a los ciberdelincuentes a través de Telegram.

Medidas de prevención

Para protegerte de este tipo de amenazas, es esencial implementar prácticas de seguridad de la información:

• No descargues software de fuentes no confiables: Descargar activadores como KMSPico es una puerta abierta para el malware. Opta siempre por software legal y licenciado.
• Utiliza un buen gestor de contraseñas: Las herramientas como un gestor de contraseñas ayudan a crear contraseñas únicas y seguras para cada cuenta, minimizando el riesgo en caso de que una cuenta se vea comprometida.
• Implementa MFA (Autenticación Multifactor): Para añadir una capa adicional de seguridad a tus cuentas, utiliza MFA. Esto es clave para prevenir el acceso no autorizado a tus cuentas, incluso si se roba tu contraseña.
• Mantén tu software actualizado: Asegúrate de tener siempre las últimas actualizaciones de software, especialmente en tu antivirus y anti-malware. Estas actualizaciones te protegerán de las vulnerabilidades críticas que explotan malwares como Vidar Stealer.
• Fortalece tu infraestructura de seguridad: Implementa medidas avanzadas como firewalls, IPS, IDS, y herramientas de gestión como SIEM para monitorizar posibles amenazas y mitigar ataques.
• Fortalece el factor humano en ciberseguridad: La educación en ciberseguridad y la capacitación de empleados en seguridad son fundamentales para evitar ataques de phishing y otras técnicas de hacking ético.

¿Tienes dudas con la ciberseguridad? ¡En Cibersafety podemos ayudarte!

En Cibersafety, entendemos la importancia de mantener la seguridad de tus datos en un entorno digital cada vez más complejo y amenazante. Explora nuestro conjunto de servicios y descubre cómo podemos ayudarte a proteger tu datos contra las amenazas cibernéticas. ¡Contáctanos hoy mismo para comenzar!