En mayo de 2024, la Unidad de Respuesta a Amenazas (TRU) de eSentire detectó un ataque cibernético que utilizaba una versión falsa de la herramienta activadora KMSPico para instalar el troyano Vidar Stealer. Los atacantes explotaron dependencias de Java y un script malicioso de AutoIt para desactivar Windows Defender y desplegar la carga útil de Vidar a través de una shell.
El ataque comienza cuando el usuario busca KMSPico y accede al primer resultado en el buscador (kmspico[.]ws), un sitio que se promociona como un "activador universal" para Windows, aparentemente desactualizado. Este sitio, alojado detrás de Cloudflare Turnstile, requiere interacción humana para descargar el archivo ZIP final, lo que dificulta la detección por rastreadores web automatizados.
El archivo ZIP analizado contenía dependencias de Java y el ejecutable malicioso Setuper_KMS-ACTIV.exe. Al ejecutarlo, se activa javaw.exe, que deshabilita la supervisión de Windows Defender y descarga un script malicioso de AutoIt. Este script contiene la carga útil cifrada de Vidar, que se inyecta en el proceso AutoIt.
Vidar Stealer utiliza Telegram como Dead Drop Resolver (DDR) para almacenar la dirección IP del servidor de comando y control (C2). Los actores de amenazas emplean DDR para ocultar información de C2 en servicios web legítimos, incrustando y ofuscando dominios o direcciones IP en contenido publicado en sitios y aplicaciones populares como Telegram.
