Seguridad

Detecta una campaña de infección de malware oculta en un instalador falso de Windows 11

En él, los participantes maliciosos comenzaron a difundir instalaciones falsas de actualización de Windows 11 a los usuarios de Windows 10, incitándolos a descargar y ejecutar el software de robo de datos RedLine.

Cabe señalar que el momento de los primeros ataques coincidió con el momento en que Microsoft anunció el despliegue generalizado de Windows 11 en todo el mundo. Por lo tanto, se puede confirmar que los atacantes estaban bien preparados y solo esperaban el momento adecuado para llevar a cabo actividades maliciosas para maximizar el éxito de la campaña.

RedLine es básicamente una de las herramientas para robar contraseñas, cookies de navegador, información de tarjetas de crédito y billeteras de criptomonedas, ampliamente utilizada por participantes maliciosos en todo el mundo en la actualidad. Debido a su operación estable y sigilo efectivo, después de una infección exitosa, RedLine puede tener graves consecuencias para la víctima.

Distribuya la campaña RedLine a través de un instalador falso de Windows 11

Según los investigadores de HP que descubrieron por primera vez la campaña maliciosa, los actores usaron el dominio ‘windows-upgraded.com’ a primera vista para parecer legítimos para distribuir malware en esta última campaña.

No solo tiene un nombre de dominio «sensible», este sitio web falso también tiene una interfaz diseñada como el sitio web «original» de Microsoft. Si un visitante no puede ver la diferencia y accidentalmente hace clic en el botón Descargar ahora, recibirá un archivo ZIP de 1,5 MB llamado ‘Windows11InstallationAssistant.zip’, descargado directamente desde el CDN de Discord.


Al descomprimir el archivo se crea una carpeta de 753 MB que muestra una impresionante tasa de compresión del 99,8 %. Cuando la víctima inicia el archivo ejecutable en el directorio, se inicia el proceso de PowerShell con el argumento cifrado.

El proceso cmd.exe comenzará con un tiempo de espera de 21 segundos y, una vez que el archivo .jpg haya caducado, se extraerá del servidor web remoto. Este archivo de imagen contiene un archivo DLL cuyo contenido está organizado en orden inverso para evitar la detección y el análisis.

Finalmente, el proceso original carga la DLL y reemplaza el contexto del subproceso actual con ella. Esta DLL es una carga útil del malware RedLine que se conecta al servidor de comando y control del pirata informático (servidor C2) a través de TCP. A partir de ahí, el código malicioso recibirá instrucciones específicas para las tareas maliciosas, que luego deberá realizar en el sistema recién comprometido.

Imagen 2 de una campaña de detección de malware oculta en un instalador falso de Windows 11

Aunque el sitio distribuido anteriormente está actualmente (temporalmente) inactivo, nada impide que los usuarios maliciosos continúen creando un nuevo nombre de dominio y reiniciando esta campaña. Windows 11 es una actualización importante que muchos usuarios de Windows 10 no pueden obtener de los canales de distribución oficiales porque no cumple con los requisitos de compatibilidad de hardware. Este es un hecho que los operadores de malware ven como una gran oportunidad para encontrar nuevas víctimas.

A principios de enero, también hubo muchos informes de amenazas que los clientes legítimos de actualización de Windows aprovecharon para ejecutar código malicioso en sistemas comprometidos. Tenga en cuenta que estos sitios peligrosos a menudo se promocionan a través de publicaciones en foros, redes sociales o mensajes de texto, así que no confíe en nada más que en el anuncio oficial de actualización de Windows de Microsoft.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Botón volver arriba
error: Content is protected !!