Las licencias de los programas comerciales no son especialmente baratas. Esto lleva a que muchos usuarios opten por descargar el software de forma ilegal. En el caso de Windows esto implica un segundo paso en el que es necesario realizar la activación del producto.
Cuando la adquisición se realiza de forma legal la activación no es un problema. Cuando se realiza de forma ilegal se toman riesgos.
Una de las herramientas de activación más conocidas es el KMSPico. De por sí este software no supone una amenaza, pero dado que en una gran cantidad de ocasiones se obtiene de fuentes poco confiables es difícil saber bien que se está utilizando.
La amenaza
El investigador de la empresa de seguridad informática Red Canary, Tom Lambert, ha señalado en un reciente reporte que KMSPico ha comenzado a ser utilizado para el robo de billeteras de criptomonedas.
El malware empleado se conoce como CryptBot. Este programa es capaz de obtener las credenciales de los navegadores, las billeteras digitales y las tarjetas de crédito.
Imagen mental de como creemos funciona Cryptbot.
Una importante cantidad de sitios ofreciendo en teoría la versión oficial de KMSPico tienen en realidad enlaces a través de los cuales se descargan versiones alteradas, o malware sin relación alguna con el activador.
El objetivo
Red Canary ha advertido que una importante cantidad de departamentos de IT en las empresas utilizan software ilegítimo. Lo dicho implica que una campaña con este tipo de malware, disfrazado de esta manera, no necesariamente está enfocada en el usuario hogareño.
En Junio de este año Avast descubrió una campaña que fue denominada Crackonosh. Implicaba la distribución de copias ilegítimas de software con las que se afectó a varios equipos dedicados a la minería de criptomonedas. En ese momento se calculó que los atacantes podría haber conseguido unos USD 2 millones en ganancias.
