La falsa actualización de Windows 11 infecta ordenadores con el malware RedLine
Aprovechando la creciente popularidad de Windows 11 y la recién anunciada fase de implementación amplia anunciada por Microsoft, parece ser que algunos usuarios han comenzado a distribuir instaladores de actualización de Windows 11 falsos con el malware RedLine oculto en ellos.
Según los investigadores de HP que detectaron esta campaña, se trata de un malware destinado a captura de información privada y sensible de los usuarios tales como contraseñas, cookies de navegador, tarjetas de crédito y monederos de criptomonedas más utilizado, por lo que sus infecciones pueden tener consecuencias nefastas para las víctimas.
Así pues, los ciber delincuentes utilizaron el dominio aparentemente legítimo «windows-upgraded.com» para la parte de distribución, copiando el estilo genuino de la web de Microsoft, con el añadido de que si el visitante hacía clic en el botón «Descargar ahora», recibía un archivo ZIP de 1,5 MB llamado «Windows11InstallationAssistant.zip», obtenido directamente de un CDN de Discord.
Cuando la víctima inicia el ejecutable en la carpeta, se inicia un proceso de PowerShell con un argumento codificado. A continuación, se inicia un proceso cmd.exe con un tiempo de espera de 21 segundos y, una vez que expira, se obtiene un archivo .jpg de un servidor web remoto. Este archivo contiene una DLL con contenido organizado en forma inversa, posiblemente para evadir la detección y el análisis. Por último, el proceso inicial carga la DLL y reemplaza el contexto del subproceso actual con ella, realizando una carga del malware RedLine, que se conecta al servidor de comando y control a través de TCP a la espera de instrucciones.
Si bien actualmente el sitio utilizado originalmente para la distribución de este malware ha sido ya retirado, los expertos avisan de que nada impide que los delincuentes configuren un nuevo dominio y reinicien su campaña, o incluso que ya contasen con más de una página dedicada a esta acción de robo de datos.
Por desgracia, ésta no es la única amenaza actual. Tal y como compartían desde BleepingComputer, los ciberdelincuentes también están aprovechando los clientes de actualización legítimos de Windows 11 para ejecutar códigos maliciosos en algunos sistemas de usuarios anteriormente comprometidos.
Por nuestra parte, os instamos a mantener la atención siempre que tengáis que descargar algún archivo, y que sigáis nuestras recomendaciones para manteneros seguros en la red.
La entrada La falsa actualización de Windows 11 infecta ordenadores con el malware RedLine es original de MuyComputer
Comentarios
Publicar un comentario