En el mundo de la ciberseguridad, las amenazas están en constante evolución. Los ciberdelincuentes buscan constantemente nuevas formas de atacar a los usuarios y robar su información personal.
En esta ocasión, alertamos sobre un nuevo ataque que utiliza una herramienta activadora de Windows falsa llamada KMSPico para instalar el troyano Vidar Stealer. Este troyano es capaz de robar información sensible de los usuarios, como contraseñas, datos bancarios y archivos personales.
Tabla de contenidos
Toggle¿Qué es KMSPico?
KMSPico es una herramienta no oficial que se utiliza para activar productos de Microsoft, como Windows y Office, sin necesidad de comprar una licencia oficial.
La herramienta funciona aprovechando las Key Management Services (KMS) de Microsoft, que son un servicio de red que permite a las organizaciones administrar las licencias de software de Microsoft en sus redes.
¿Cómo funciona KMSPico?
KMSPico simula ser un servidor KMS de Microsoft y se comunica con los servidores de Microsoft para obtener licencias para los productos de Microsoft.
Esto permite a los usuarios activar sus productos de Microsoft sin necesidad de ingresar una clave de producto válida.
¿Es seguro usar KMSPico?
No se recomienda usar KMSPico por varias razones:
- Es ilegal: Microsoft no aprueba el uso de KMSPico y su uso podría considerarse una violación de los términos de servicio de Microsoft.
- Puede ser peligroso: KMSPico a menudo se contiene malware que puede dañar su computadora o robar su información personal.
- No es confiable: KMSPico puede dejar de funcionar en cualquier momento, lo que significa que sus productos de Microsoft podrían dejar de ser válidos.
Troyano Vidar Stealer
Vidar Stealer es un malware que se utiliza para robar información confidencial de los usuarios, como contraseñas, datos bancarios y archivos personales.
Se distribuye principalmente a través de herramientas activadoras falsas de Windows, como KMSPico, y se ha convertido en una de las amenazas más prevalentes para los usuarios de Windows en los últimos años.
¿Cómo funciona Vidar Stealer?
Vidar Stealer funciona de la siguiente manera:
- El usuario descarga una herramienta activadora falsa de Windows, como KMSPico.
- Al ejecutar la herramienta activadora, se instala el troyano Vidar Stealer en la computadora del usuario.
- El troyano Vidar Stealer se oculta en el sistema del usuario y comienza a recopilar información confidencial.
- La información robada se envía a los ciberdelincuentes a través de internet.
¿Qué información roba Vidar Stealer?
Vidar Stealer puede robar una amplia gama de información confidencial, incluyendo:
- Contraseñas: Contraseñas de cuentas bancarias, redes sociales, correos electrónicos y otros sitios web.
- Datos bancarios: Números de tarjetas de crédito, números de cuentas bancarias y otra información financiera.
- Archivos personales: Documentos, fotos y otros archivos almacenados en la computadora del usuario.
- Información del sistema: Información sobre el sistema operativo del usuario, la configuración del hardware y el software instalado.
Detalles del ataque
Desde mayo de 2024, se ha detectado un ataque que involucraba una herramienta activadora KMSPico falsa. El ataque aprovechaba las dependencias de Java y un script de AutoIt malicioso para desactivar Windows Defender y, finalmente, descifrar la carga útil del troyano Vidar.
El ataque se desarrollaba de la siguiente manera:
- El usuario busca KMSPico en un motor de búsqueda y accede al primer resultado. Este sitio web falso (kmspico[.]ws) se promociona como un «activador universal» para Windows.
- El usuario descarga el archivo ZIP que contiene las dependencias de Java y el ejecutable malicioso Setuper_KMS-ACTIV.exe.
- Al ejecutar el archivo ZIP, se inicia javaw.exe, que deshabilita la supervisión del comportamiento en Windows Defender y descarga un script de AutoIt malicioso.
- El script de AutoIt inyecta la carga útil cifrada del troyano Vidar en el proceso AutoIt.
- El troyano Vidar roba información sensible del usuario y la envía a los ciberdelincuentes a través de Telegram.
Medidas de prevención
Para evitar ser víctima de este tipo de ataques, es importante tomar las siguientes medidas de prevención:
- No descargue software de fuentes no confiables. Solo descargue software de sitios web oficiales o de distribuidores de confianza.
- Tenga cuidado con las herramientas activadoras falsas. Estas herramientas a menudo contienen malware que puede dañar su computadora o robar su información personal.
- Mantenga su software antivirus y anti-malware actualizado. Un software antivirus y anti-malware actualizado puede ayudarlo a detectar y bloquear malware antes de que pueda dañar su computadora.
- Sea consciente de los sitios web que visita. Los ciberdelincuentes a menudo utilizan sitios web falsos para distribuir malware. Tenga cuidado con los sitios web que parecen sospechosos o que no le suenen familiares.
- Utilice contraseñas seguras y diferentes para todas sus cuentas. No reutilice la misma contraseña para varias cuentas.
- Tenga cuidado con los correos electrónicos y archivos adjuntos sospechosos. Los ciberdelincuentes a menudo envían correos electrónicos de phishing que contienen malware. No abra correos electrónicos ni archivos adjuntos de personas que no conoce.
¿Tienes dudas con la ciberseguridad? ¡En Cibersafety podemos ayudarte!
En Cibersafety, entendemos la importancia de mantener la seguridad de tus datos en un entorno digital cada vez más complejo y amenazante. Explora nuestro conjunto de servicios y descubre cómo podemos ayudarte a proteger tu datos contra las amenazas cibernéticas. ¡Contáctanos hoy mismo para comenzar!