KMSPico y Cryptbot: una combinación picante
Puede usar una combinación de detección basada en firmas y comportamiento para rastrear este ladrón de información Cryptbot siendo eliminado por un instalador falso de KMSPico.
TONY LAMBERT
La piratería digital puede ser una elección de estilo de vida difícil, debido en gran parte a las fuentes de mala reputación de software descifrado y los exploits utilizados para activar funciones pagas. Hemos visto muchos sistemas ser víctimas de una infección de malware porque los usuarios instalaron software crackeado y asumieron que solo era software crackeado. En un caso reciente, detectamos un sistema infectado por el malware Cryptbot diseñado para robar credenciales y rastreamos esa infección hasta un instalador falso de KMSPico. Este artículo describe qué es KMSPico y cómo se relaciona con Cryptbot. Incluimos el análisis de malware de KMSPico en un PDF separado para complementar la información que se describe aquí.
¿Qué es KMSPico?
KMSPico es una herramienta que se utiliza para activar todas las funciones de los productos de Microsoft Windows y Office sin tener una clave de licencia. Aprovecha los servicios de administración de claves de Windows (KMS) , una tecnología legítima introducida para otorgar licencias de productos de Microsoft de forma masiva en las redes empresariales. En circunstancias normales, las empresas que utilizan licencias KMS legítimas instalan un servidor KMS en una ubicación central y utilizan Objetos de política de grupo (GPO) para configurar a los clientes para que se comuniquen con él. KMSPico, por otro lado, emula un servidor KMS localmente en el sistema afectado para activar fraudulentamente la licencia del endpoint.
Incluso cuando KMSPico no está contaminado con malware, tampoco es un software legítimo. En los mejores casos, cuando alguien obtiene el instalador real, solo se usa para eludir la licencia. Dado que varios proveedores de antimalware detectan el software de elusión de licencias como un programa potencialmente no deseado (PUP ), KMSPico a menudo se distribuye con descargos de responsabilidad e instrucciones para deshabilitar los productos antimalware antes de instalarlos. Además de la dificultad para encontrar una descarga limpia, las instrucciones de desactivación preparan a las víctimas involuntarias para recibir malware.
Hemos observado que varios departamentos de TI utilizan KMSPico en lugar de licencias legítimas de Microsoft para activar sistemas. De hecho, incluso experimentamos un compromiso de respuesta a incidentes desafortunado en el que nuestro socio de IR no pudo remediar un entorno debido a que la organización no tenía una única licencia válida de Windows en el entorno. KMSPico y otros activadores de KMS no oficiales eluden las licencias de Microsoft y son una forma de software pirateado, lo que representa un riesgo no trivial para las organizaciones. La activación legítima en Windows es el único método compatible con Microsoft.
¿Se pondrá de pie el verdadero KMSPico?
Ladrón de criptbot, el polizón
Cryptbot tiene una larga historia de implementación a través de varios medios por parte de los adversarios y daña a las organizaciones al robar credenciales y otra información confidencial de los sistemas afectados. Últimamente, se ha implementado a través de un software “crackeado” falso, y en este caso es particularmente insidioso al hacerse pasar por KMSPico. El usuario se infecta al hacer clic en uno de los enlaces maliciosos y descarga KMSPico, Cryptbot u otro malware sin KMSPico. Los adversarios también instalan KMSPico, porque eso es lo que la víctima espera que suceda, mientras que simultáneamente implementan Cryptbot detrás de escena.
Cryptbot es capaz de recopilar información confidencial de las siguientes aplicaciones:
- Billetera de criptomonedas atómicas
- Navegador web Avast Secure
- Navegador valiente
- Cartera de criptomonedas Ledger Live
- Navegador web Opera
- Aplicaciones de criptomonedas Waves Client y Exchange
- Billetera de criptomonedas Coinomi
- Navegador web Google Chrome
- Cartera de criptomonedas Jaxx Liberty
- Cartera de criptomonedas Electron Cash
- Cartera de criptomonedas Electrum
- Billetera de criptomonedas Exodus
- Billetera de criptomonedas Monero
- Cartera de criptomonedas MultiBitHD
- Navegador web Mozilla Firefox
- Navegador web CCleaner
- Navegador web Vivaldi
Nota: Para un análisis en profundidad del instalador malicioso de KMSPico, puede leer nuestro análisis completo de malware en este PDF .
Oportunidad de detección: CypherIT
Busque archivos binarios que contengan metadatos de AutoIT pero que no tengan “AutoIT” en sus nombres de archivo
Procesos AutoIT que realizan conexiones de red externas
findstr
comandos similares a findstr /V /R "^ … $
Oportunidad de detección: Cryptbot
Comandos de PowerShell o cmd.exe que contienen rd /s /q, timeout, and del /f /q together
Conclusión
La vida de un pirata no es la vida para nosotros, especialmente cuando se trata de software crackeado. KMSPico es un software para eludir la licencia que se puede falsificar de varias formas y, en este caso, una versión maliciosa provocó una interesante infección de Cryptbot diseñada para robar credenciales. Ahórrese la molestia y busque métodos de activación legítimos y compatibles.