Los usuarios de Windows 10 deben tener cuidado con los instaladores falsos de Windows 11 que se utilizan para propagar el malware RedLine que roba información.
RedLine no es un malware especialmente sofisticado, pero puede robar contraseñas y se vende como un servicio en línea por $150 al mes para personas que quieren robar criptomonedas como Bitcoin o Ethereum.
Los ladrones usan numerosos trucos para que los desprevenidos lo descarguen, y ahora HP los descubrió usando promesas falsas de actualizaciones de Windows 11 como señuelo para engañar a los usuarios de PC para que instalen el malware.
VER: Ciberseguridad: pongámonos tácticos (Informe especial de MarketingyPublicidad.es)
Microsoft ha puesto un estándar alto para el hardware que es elegible para la actualización a Windows 11 y se inclina hacia los procesadores más nuevos. Inicialmente, pocos dispositivos eran elegibles, pero Microsoft anunció recientemente que estaba acelerando la implementación para satisfacer la demanda inesperada.
En este caso, los piratas informáticos intentaron usar el anuncio de Microsoft del 26 de enero de que estaba «entrando en su fase final de disponibilidad y está designado para una implementación amplia para dispositivos elegibles» como un ángulo, ya que registraron su propio dominio falso al día siguiente.
Los investigadores de seguridad de HP descubrieron que los actores de RedLine registraron un dominio falso con la esperanza de engañar a los usuarios de Windows 10 para que descarguen y ejecuten un instalador falso de Windows 11. Los atacantes copiaron el diseño del sitio web legítimo de Windows 11, excepto que al hacer clic en el botón «Descargar ahora» se descarga un archivo zip sospechoso.
«El dominio llamó nuestra atención porque se registró recientemente, imitó una marca legítima y se aprovechó de un anuncio reciente. El actor de amenazas usó este dominio para distribuir RedLine Stealer, una familia de malware que roba información que se anuncia ampliamente para la venta en foros clandestinos. ”, dijo Patrick Schläpfer, analista de malware del equipo de seguridad Wolf de HP.
El nombre de dominio de la página de actualización falsa de Windows 11 se registró con un registrador ruso; La página de actualización de Windows 11 real de Microsoft está alojada en un dominio Microsoft.com. El malware tiene como objetivo robar las contraseñas almacenadas de los navegadores web, completar automáticamente los datos, como la información de la tarjeta de crédito, así como los archivos y billeteras de criptomonedas.
Microsoft ha estado optimizando sus actualizaciones de funciones de Windows, incluso haciéndolo más como un martes de parches para actualizaciones ‘N-menos-1’, pero los delincuentes en este caso superaron con creces el producto real con un instalador malicioso comprimido de un minuto de solo 1,5 MB de datos. , aunque después de la descompresión, el tamaño de la carpeta era de 753 MB, una hazaña que impresionó al analista de malware de HP.
«Dado que el tamaño comprimido del archivo zip era de solo 1,5 MB, esto significa que tiene una tasa de compresión impresionante del 99,8%. Esto es mucho más grande que la tasa de compresión zip promedio para ejecutables del 47%. Para lograr una tasa de compresión tan alta, el ejecutable probablemente contiene relleno que es extremadamente comprimible», escribe Schläpfer.
También señaló el uso de un «área de relleno» de 0x30 bytes no deseados del archivo que no tenía otro propósito aparente que evadir la detección del antivirus.
«Una de las razones por las que los atacantes pueden haber insertado un área de relleno de este tipo, haciendo que el archivo sea muy grande, es que los archivos de este tamaño pueden no ser escaneados por un antivirus y otros controles de escaneo, lo que aumenta las posibilidades de que el archivo pueda ejecutarse sin obstáculos y instalar el malware», señala.
La artimaña de Windows 11 es típica de los operadores de RedLine, que han creado un servicio de malware barato y desagradable para que lo usen los no expertos en tecnología. En diciembre, se desprendió de la marca de la popular aplicación de mensajería Discord.
HP señala: «Dado que tales campañas a menudo dependen de que los usuarios descarguen software de la web como vector de infección inicial, las organizaciones pueden prevenir tales infecciones descargando software solo de fuentes confiables».