KMSPico infectado con troyano Vidar Stealer: Ciberdelincuentes utilizan herramienta activadora falsa para robar información de usuarios.

trojan virus

En el mundo de la ciberseguridad, las amenazas están en constante evolución. Los ciberdelincuentes buscan constantemente nuevas formas de atacar a los usuarios y robar su información personal.

En esta ocasión, alertamos sobre un nuevo ataque que utiliza una herramienta activadora de Windows falsa llamada KMSPico para instalar el troyano Vidar Stealer. Este troyano es capaz de robar información sensible de los usuarios, como contraseñas, datos bancarios y archivos personales.

¿Qué es KMSPico?

KMSPico es una herramienta no oficial que se utiliza para activar productos de Microsoft, como Windows y Office, sin necesidad de comprar una licencia oficial.

La herramienta funciona aprovechando las Key Management Services (KMS) de Microsoft, que son un servicio de red que permite a las organizaciones administrar las licencias de software de Microsoft en sus redes.

¿Cómo funciona KMSPico?

KMSPico simula ser un servidor KMS de Microsoft y se comunica con los servidores de Microsoft para obtener licencias para los productos de Microsoft.

Esto permite a los usuarios activar sus productos de Microsoft sin necesidad de ingresar una clave de producto válida.

¿Es seguro usar KMSPico?

No se recomienda usar KMSPico por varias razones:

  • Es ilegal: Microsoft no aprueba el uso de KMSPico y su uso podría considerarse una violación de los términos de servicio de Microsoft.
  • Puede ser peligroso: KMSPico a menudo se contiene malware que puede dañar su computadora o robar su información personal.
  • No es confiable: KMSPico puede dejar de funcionar en cualquier momento, lo que significa que sus productos de Microsoft podrían dejar de ser válidos.

Troyano Vidar Stealer

Vidar Stealer es un malware que se utiliza para robar información confidencial de los usuarios, como contraseñas, datos bancarios y archivos personales.

Se distribuye principalmente a través de herramientas activadoras falsas de Windows, como KMSPico, y se ha convertido en una de las amenazas más prevalentes para los usuarios de Windows en los últimos años.

¿Cómo funciona Vidar Stealer?

Vidar Stealer funciona de la siguiente manera:

  1. El usuario descarga una herramienta activadora falsa de Windows, como KMSPico.
  2. Al ejecutar la herramienta activadora, se instala el troyano Vidar Stealer en la computadora del usuario.
  3. El troyano Vidar Stealer se oculta en el sistema del usuario y comienza a recopilar información confidencial.
  4. La información robada se envía a los ciberdelincuentes a través de internet.

¿Qué información roba Vidar Stealer?

Vidar Stealer puede robar una amplia gama de información confidencial, incluyendo:

  • Contraseñas: Contraseñas de cuentas bancarias, redes sociales, correos electrónicos y otros sitios web.
  • Datos bancarios: Números de tarjetas de crédito, números de cuentas bancarias y otra información financiera.
  • Archivos personales: Documentos, fotos y otros archivos almacenados en la computadora del usuario.
  • Información del sistema: Información sobre el sistema operativo del usuario, la configuración del hardware y el software instalado.

KMS PICO

Detalles del ataque

Desde mayo de 2024, se ha detectado un ataque que involucraba una herramienta activadora KMSPico falsa. El ataque aprovechaba las dependencias de Java y un script de AutoIt malicioso para desactivar Windows Defender y, finalmente, descifrar la carga útil del troyano Vidar.

El ataque se desarrollaba de la siguiente manera:

  1. El usuario busca KMSPico en un motor de búsqueda y accede al primer resultado. Este sitio web falso (kmspico[.]ws) se promociona como un «activador universal» para Windows.
  2. El usuario descarga el archivo ZIP que contiene las dependencias de Java y el ejecutable malicioso Setuper_KMS-ACTIV.exe.
  3. Al ejecutar el archivo ZIP, se inicia javaw.exe, que deshabilita la supervisión del comportamiento en Windows Defender y descarga un script de AutoIt malicioso.
  4. El script de AutoIt inyecta la carga útil cifrada del troyano Vidar en el proceso AutoIt.
  5. El troyano Vidar roba información sensible del usuario y la envía a los ciberdelincuentes a través de Telegram.

Medidas de prevención

Para evitar ser víctima de este tipo de ataques, es importante tomar las siguientes medidas de prevención:

  • No descargue software de fuentes no confiables. Solo descargue software de sitios web oficiales o de distribuidores de confianza.
  • Tenga cuidado con las herramientas activadoras falsas. Estas herramientas a menudo contienen malware que puede dañar su computadora o robar su información personal.
  • Mantenga su software antivirus y anti-malware actualizado. Un software antivirus y anti-malware actualizado puede ayudarlo a detectar y bloquear malware antes de que pueda dañar su computadora.
  • Sea consciente de los sitios web que visita. Los ciberdelincuentes a menudo utilizan sitios web falsos para distribuir malware. Tenga cuidado con los sitios web que parecen sospechosos o que no le suenen familiares.
  • Utilice contraseñas seguras y diferentes para todas sus cuentas. No reutilice la misma contraseña para varias cuentas.
  • Tenga cuidado con los correos electrónicos y archivos adjuntos sospechosos. Los ciberdelincuentes a menudo envían correos electrónicos de phishing que contienen malware. No abra correos electrónicos ni archivos adjuntos de personas que no conoce.

¿Tienes dudas con la ciberseguridad? ¡En Cibersafety podemos ayudarte!

En Cibersafety, entendemos la importancia de mantener la seguridad de tus datos en un entorno digital cada vez más complejo y amenazante. Explora nuestro conjunto de servicios y descubre cómo podemos ayudarte a proteger tu datos contra las amenazas cibernéticas. ¡Contáctanos hoy mismo para comenzar!

CONTACTA CON NOSOTROS

¿Tienes dudas? Te las resolvemos

    Últimas entradas

    5 de octubre de 2024
    En un mundo cada vez más digital, muchas empresas han migrado sus aplicaciones a la nube para aprovechar sus beneficios en términos de escalabilidad, flexibilidad...
    4 de octubre de 2024
    La adopción de servicios en la nube ha transformado la manera en que las empresas operan. Microsoft 365 (M365) se ha posicionado como una de...
    3 de octubre de 2024
    El ransomware se ha convertido en una de las amenazas más graves para las empresas en el mundo digital actual. Según el Informe de investigación...

    SESIÓN DE CONSULTORÍA

    Solicita una sesión de consultoría GRATIS

      GUÍAS

      Consigue la guía definitiva de Ciberseguridad para proteger empresas GRATIS

        guías

        Consigue la guía definitiva de Ciberseguridad para empresas del sector turístico GRATIS

          SESIÓN DE CONSULTORÍA

          Consigue la guía definitiva para implementar la normativa NIS2 en empresas GRATIS