En mayo de 2024, la Unidad de Respuesta a Amenazas (TRU) de eSentire detectó un ataque que involucraba una herramienta activadora KMSPico falsa, que instalaba el troyano Vidar Stealer. El ataque aprovechó las dependencias de Java y un Script de AutoIt malicioso para desactivar Windows Defender y, finalmente, descifrar la carga útil de Vidar mediante una shell.

En el incidente observado, el usuario realiza una búsqueda de KMSPico e igresa al primer resultado del buscador (kmspico[.]ws). La herramienta se promociona como un "activador universal" para Windows y parece que ya no recibe mantenimiento. 

l sitio falso kmspico[.]ws estaba alojado detrás de Cloudflare Turnstile y requería el ingreso de un código para descargar el paquete ZIP final. Estos pasos son inusuales para una página de descarga de aplicaciones legítima y se realizan para ocultar la página y la carga útil final de los rastreadores web automatizados. El archivo ZIP del análisis contiene dependencias de Java y el ejecutable malicioso Setuper_KMS-ACTIV.exe (MD5: 6b6d562c71b953f41b6915998f047a30).

Al ejecutarlo, se iniciará javaw.exe, que es responsable de deshabilitar la supervisión del comportamiento en Windows Defender y descargar el script malicioso de AutoIt (MD5: b06e67f9767e5023892d9698703ad098).

El script de AutoIt contiene la carga útil cifrada de Vidar  que se inyectará en el proceso AutoIt. Vidar Stealer usa Telegram como Dead Drop Resolver (DDR) para almacenar la dirección IP del C2. Los actores de amenazas utilizan un Dead Drop Resolver para alojar información de comando y control (C2) en servicios web externos legítimos, incrustando y a menudo ofuscando dominios o direcciones IP dentro del contenido publicado en sitios y aplicaciones populares como Telegram (T1102.001).

Fuentes:

https://blog.segu-info.com.ar/2024/06/troyano-stealer-instalados-traves-de.html