Monitor Software
Falsa actualización de Windows 11
Publicación:16-02-2022
TEMA: #Software
Infecta ordenadores con el malware RedLine.
Aprovechando la creciente popularidad de Windows 11 y la recién anunciada fase de implementación amplia anunciada por Microsoft, parece ser que algunos usuarios han comenzado a distribuir instaladores de actualización de Windows 11 falsos con el malware RedLine oculto en ellos.
Según los investigadores de HP que detectaron esta campaña, se trata de un malware destinado a capturaa de información privada y sensible de los usuarios tales como contraseñas, cookies de navegador, tarjetas de crédito y monederos de criptomonedas más utilizado, por lo que sus infecciones pueden tener consecuencias nefastas para las víctimas.
Así pues, los ciber delincuentes utilizaron el dominio aparentemente legítimo «windows-upgraded.com» para la parte de distribución, copiando el estilo genuino de la web de Microsoft, con el añadido de que si el visitante hacía clic en el botón «Descargar ahora», recibía un archivo ZIP de 1,5 MB llamado «Windows11InstallationAssistant.zip», obtenido directamente de un CDN de Discord.
Cuando la víctima inicia el ejecutable en la carpeta, se inicia un proceso de PowerShell con un argumento codificado. A continuación, se inicia un proceso cmd.exe con un tiempo de espera de 21 segundos y, una vez que expira, se obtiene un archivo .jpg de un servidor web remoto. Este archivo contiene una DLL con contenido organizado en forma inversa, posiblemente para evadir la detección y el análisis. Por último, el proceso inicial carga la DLL y reemplaza el contexto del subproceso actual con ella, realizando una carga del malware RedLine, que se conecta al servidor de comando y control a través de TCP a la espera de instrucciones.
Si bien actualmente el sitio utilizado originalmente para la distribución de este malware ha sido ya retirado, los expertos avisan de que nada impide que los delincuentes configuren un nuevo dominio y reinicien su campaña, o incluso que ya contasen con más de una página dedicada a esta acción de robo de datos.
Por desgracia, ésta no es la única amenaza actual. Tal y como compartían desde BleepingComputer, los ciberdelincuentes también están aprovechando los clientes de actualización legítimos de Windows 11 para ejecutar códigos maliciosos en algunos sistemas de usuarios anteriormente comprometidos.
« Especial »