Expertos en seguridad informática han alertado sobre una nueva y sofisticada campaña de malware que combina técnicas de phishing con la utilización de instaladores legítimos, lo que dificulta significativamente su detección. La amenaza, descubierta por la firma Malwarebytes, se presenta como una actualización de Windows, pero en realidad instala un programa diseñado para robar información sensible de los usuarios.
La campaña fraudulenta se basa en una página web que imita el soporte técnico de Microsoft. Esta página engañosa induce a las víctimas a descargar una supuesta actualización acumulativa de Windows 24H2, prometiendo mejoras y correcciones de seguridad. Sin embargo, el archivo descargado, denominado WindowsUpdate 1.0.0.msi y con un tamaño de 83 MB, contiene un malware oculto.
Lo particularmente astuto de esta estafa reside en la apariencia legítima de la página web y del archivo descargado. La página fraudulenta presenta un dominio con un error ortográfico sutil, pero un diseño prácticamente idéntico al del soporte oficial de Microsoft. Además, incluye un botón de descarga y un número de la Base de conocimientos (KB), elementos que refuerzan la credibilidad de la oferta.
A pesar de su naturaleza maliciosa, el instalador MSI no fue detectado como una amenaza por los 69 motores antivirus de Malwarebytes durante el análisis inicial. Esto demuestra la capacidad del malware para evadir los sistemas de seguridad tradicionales. La amenaza se oculta en el código JavaScript de una aplicación basada en Electron que se ejecuta al instalar el paquete MSI.
Una vez que el malware se instala en el sistema, procede a descargar e instalar varios paquetes de Python, incluyendo herramientas especializadas en el robo de información. Entre estas herramientas se encuentran pycryptodome, psutil, pywin32 y PythonForWindows. Estas bibliotecas permiten al programa malicioso recopilar contraseñas, datos bancarios, credenciales de acceso y otra información confidencial almacenada en el equipo infectado.
Para asegurar su persistencia en el sistema, el malware crea una entrada en el Registro de Windows con un nombre que simula ser un componente legítimo de Windows Health. Además, genera un acceso directo que se disfraza como una aplicación de Spotify, lo que permite que el programa malicioso se ejecute automáticamente cada vez que el usuario inicia el equipo. Esta técnica de disfraz ayuda a mantener el malware activo y operativo durante un período prolongado, maximizando las oportunidades para robar información.
Malwarebytes ha advertido que esta campaña representa una evolución significativa en las técnicas utilizadas por los ciberdelincuentes para robar datos. La combinación de un señuelo de phishing adaptado al mercado local, un instalador MSI legítimo, una envoltura en Electron y una carga útil de Python implementada en tiempo de ejecución, hace que esta amenaza sea particularmente difícil de detectar y neutralizar.
Ante esta creciente amenaza, Malwarebytes recomienda a los usuarios tomar una serie de medidas preventivas para proteger sus sistemas y su información personal. Estas medidas incluyen la revisión exhaustiva de las claves del Registro de Windows para identificar entradas sospechosas, la verificación de que la aplicación de Spotify instalada sea la versión oficial y la eliminación de archivos temporales que puedan contener restos del malware .
Además, la firma de seguridad aconseja a los usuarios cambiar las contraseñas almacenadas en sus navegadores web y activar la autenticación en dos factores siempre que sea posible. La autenticación en dos factores añade una capa adicional de seguridad al requerir un código de verificación adicional, además de la contraseña, para acceder a las cuentas en línea.
Sin embargo, la recomendación más importante de Malwarebytes es evitar descargar actualizaciones de Windows desde fuentes externas. La forma más segura de actualizar el sistema operativo es hacerlo directamente desde el menú de configuración de Windows, lo que garantiza que las actualizaciones provengan de Microsoft y no hayan sido manipuladas por ciberdelincuentes.
Esta nueva campaña de malware subraya la importancia de la vigilancia y la precaución en el entorno digital. Los usuarios deben ser escépticos ante cualquier solicitud de actualización de software que llegue a través de correo electrónico o páginas web sospechosas, y siempre verificar la autenticidad de la fuente antes de descargar o instalar cualquier archivo. La combinación de medidas preventivas y la actualización constante de los sistemas de seguridad son esenciales para protegerse contra las amenazas cibernéticas en constante evolución.
