La actualización falsa de Windows 11 que infecta a RedLine

Aprovechando la creciente popularidad de Windows 11 y la extensa fase de implementación anunciada recientemente por Microsoft, parece que algunos usuarios han comenzado a distribuir instaladores falsos de actualizaciones de Windows 11 con el malware RedLine escondido en ellos.

Según los investigadores de HP que detectaron esta campaña, es malware destinado a capturar información privada y confidencial de los usuarios como las contraseñas más utilizadas, las cookies del navegador, las tarjetas de crédito y las billeteras de criptomonedas, por lo que sus infecciones pueden tener consecuencias nefastas para las víctimas.

Así, los ciberdelincuentes usó el dominio aparentemente legítimo "windows-upgraded.com" para la parte de distribución, copiando el estilo auténtico del sitio de Microsoft, con el agregado de que si el visitante hacía clic en el botón "Descargar ahora", recibía un archivo ZIP de 1,5 MB llamado "Windows11InstallationAssistant.zip"proveniente directamente de un CDN de Discord.

La actualización falsa de Windows 11 infecta el malware RedLine

Cuando la víctima inicia el ejecutable en la carpeta, comienza un proceso de PowerShell con un argumento codificado. entonces comienza un proceso cmd.exe con un tiempo de espera de 21 segundos, y una vez que se agota, se recupera un archivo .jpg de un servidor web remoto. Este archivo contiene una DLL cuyo contenido está organizado al revés, posiblemente para evadir la detección y el análisis. Finalmente, el proceso inicial carga la DLL y reemplaza el contexto del hilo actual con ellarealizando una carga útil de malware RedLine, que se conecta al servidor de comando y control a través de TCP mientras espera instrucciones.

Aunque el sitio originalmente utilizado para propagar este malware ahora ha sido eliminado, los expertos advierten que no hay nada que impida a los delincuentes crear un nuevo dominio y relanzar su campaña, o incluso tener más de una página dedicada a la acción de robo de datos.

Desgraciadamente, no es la única amenaza actual. Como compartió BleepingComputer, los ciberdelincuentes también se están aprovechando de los clientes legítimos de actualización de Windows 11 para ejecutar código malicioso en algunos sistemas de usuarios previamente comprometidos.

Por nuestra parte, lo invitamos a tener cuidado cada vez que necesite descargar un archivo y a seguir nuestras recomendaciones para mantenerse seguro en línea.

Via: Yooub Buscador Web

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir