¡¡Cuidado con KMSpico!!

 

Activadores para Windows y Office los hay a montones de muchos, y de entre todos, uno de los más populares y toda una institución desde hace años es KMSpico. Por imperativo legal debo decir que no descargues ni uses KMSpico para activar de forma ilegal tu Windows o tu Office. Listo…ya queda dicho y ya he cumplido con las leyes de la ley legal.


Independientemente de tu decisión, es un activador que muchos hemos usado a lo largo de estos años en alguna ocasión…siempre  por motivos académicos (no, no es cierto…lo usamos porque no tenemos para comprar ni un Windows ni un Office).

 

 

Activa Windows (desde Vista hasta 10) y Office (2010,2013, 2016 y 365) y es muy habitual descargarlo desde páginas catalogadas como pirateras, aunque algunos decidimos nombrarlas como de contenido alternativo al oficialismo…pero no dejan de ser sitios donde descargar piratería pura y dura.

 

Descargar programas pirateados es un riesgo (da igual lo confiable que sea el lugar) y descargar, instalar y usar un programa para piratear lo es aún más…y repito…independientemente de donde lo bajemos.

Normalmente KMSpico suele encontrarse en su estado puro, o sea, tal y como lo publican los desarrolladores originales y se le considera confiable por parte de la comunidad de usuarios.

Pero últimamente se han encontrado copias con malware insertado. Y no es para tomárselo a  broma, es un malware real.

 

Las copias infectadas suelen encontrarse en un autoextraíble comprimido en 7z. Dentro del autoextraíble podemos encontrar una copia limpia del KMSpico, pero al mismo tiempo descomprime y ejecuta un malware denominado Cryptbot que se encarga de robar credenciales de minería de criptomonedas infectando o interceptando las comunicaciones de aplicaciones populares.

Habitualmente intercepta comunicaciones en navegadores web (desde Chrome hasta Vivaldi, pasando por Brave u Opera) hasta aplicaciones de cartera de criptomendas (Jaxx Liberty, Electron Cash, etc…).

 

Todo esto lo hace ofuscando el instalador de Cryptbot para que no sea detectado. Para ocultarlo usa el empaquetador CypherIT, el cual permite ocultarlo de una forma sumamente eficaz, hasta el punto que solo se puede detectar a través de comandos de PowerShell y monitoreando comportamientos sospechosos desde ahí. Todo esto porque en realidad Cryptbot no usa binarios no cifrados. Además, aprovecha para instalar y lanzar un script oculto que tiene como objetivo detectar entornos sandbox y emulación AV. Esto quiere decir que aunque estes en un entorno aparentemente seguro como un sandbox, aun será capaz de interceptar y robar tus credenciales.

 

Está especializado en credenciales de criptomonedas, pero no quita que intercepte todo tipo de otros datos e información sensible.

 

Así pues…tengan cuidadín de donde se descargan las cosas y aun así…no den nada por seguro.

No estoy desprestigiando KMSpico ni mucho menos, pero precisamente por ser una herramienta tan valorada pero fuera de las distribuciones "seguras" es por lo que me he permitido advertir que andan circulando copias modificadas y manipuladas de las que debemos tener cuidado.

 

Esta información, junto con otras más de carácter más técnico, pueden consultarla en el siguiente enlace a un PDF publicado al respecto por Red Canary (una empresa de ciber-seguridad empresarial)

 


 

La web oficial de KMSpico es:

 


 

Sean felices como perdices y un saludo.


DESCARGA ESTE ARTÍCULO EN PDF

0 comentarios