Resumen: Falsos instaladores de actualización de Windows 11, han comenzado a ser distribuidos por actores de amenaza, con la finalidad de desplegar un malware conocido como RedLine Stealer en los ordenadores objetivo.
RedLine Stealer, es el nombre que se le dio a un malware capaz de irrumpir en los sistemas de sus víctimas, para secuestrar contraseñas, cookies del navegador, tarjetas de crédito y carteras de criptomonedas. Apareció por primera vez en el 2020 y se ha convertido en una herramienta popularmente utilizada por diversos actores de amenaza.
Fueron los investigadores de HP, quienes detectaron e informaron sobre la nueva campaña, esto debido a que los ciberatacantes comenzaron a desplegar los supuestos instaladores, el mismo día que Microsoft anunció sobre la fase de distribución de Windows 11.
Para llevar a cabo su acometido, los actores de amenaza hicieron uso de un dominio denominado como “windows-upgraded.com”. Al ingresar, la plataforma parece un sitio legítimo de Microsoft, no obstante cuando los usuarios dan click en la opción de “descargar ahora”, los mismos reciben un archivo ZIP con el nombre de "Windows11InstallationAssistant.zip", que proviene de una CDN de Discord. Una vez que el archivo es descomprimido, los usuarios obtienen una carpeta de 753 MB que inicia un proceso Powershell con argumento codificado.
Posteriormente, se lanza un proceso “cmd.exe” que ejecuta un archivo JPG, una vez transcurridos 21 segundos.
Más adelante, se carga una DLL que se conecta al servidor de comando y control a través del TCP, para obtener instrucciones sobre las tareas maliciosas a ejecutar.
Los investigadores han informado que el sitio de distribución ya fue dado de baja, sin embargo, es posible que los atacantes estén lanzando nuevamente el malware, utilizando un dominio nuevo. Debido a esto, se le recomienda a todos los administradores que únicamente confíen en las alertas oficiales de actualización de Windows y empleen prácticas básicas de ciberseguridad.
Recomendaciones: Se le insta a los usuarios a no descargar actualizaciones provenientes de sitios distribuidos a través de foros, mensajes, correos o redes sociales. Las actualizaciones únicamente deben hacerse a través de las alertas oficiales del sistema de actualización de Microsoft Windows. Referencias: https://www.goincognito.co/alert-fake-windows-11-upgrade-installers-infected-with-redline-malware/
|
SÍGUENOS