Investigadores de ciberseguridad han detallado una nueva campaña de ciberdelincuencia que propaga un malware de robo de datos simulando ser una actualización de Windows 11.
Investigadores de ciberseguridad han detallado una nueva campaña de ciberdelincuencia que difunde un malware de robo de información haciéndose pasar por una actualización de Windows 11. Windows 11 es la última versión del sistema operativo de escritorio de Microsoft y ha sido bien recibida por los usuarios. Sin embargo, los estrictos requisitos del sistema hacen que muchos ordenadores en perfecto estado no puedan recibir oficialmente la actualización. Desesperados por el último software, la gente está probando todo tipo de soluciones rápidas y métodos no oficiales para instalar Windows 11 en sus ordenadores, dando a los actores maliciosos un montón de objetivos blandos de los que aprovecharse.
Los ciberdelitos han aumentado recientemente, alcanzando su punto álgido durante la pandemia. Varios tipos diferentes de ciberdelitos han experimentado un aumento durante este tiempo, incluyendo el phishing, el ransomware, el spyware, las estafas de criptografía y más. Otro método popular consiste en utilizar software falso, incluidas aplicaciones antivirus falsas, para enviar cargas útiles maliciosas. Según un informe del FBI, el año pasado fue un año excepcionalmente malo para las víctimas de la ciberdelincuencia, con una pérdida de casi 7.000 millones de dólares por ataques y estafas en línea.
Los investigadores de seguridad de CloudSEK descubrieron un sitio web falso de actualización de Windows 11 que entregaba malware de robo de datos a los PC con Windows. Según Bleeping Computer, que tiene acceso exclusivo al informe de investigación, el malware puede robar datos de los navegadores web y de las criptocarteras. El sitio web, que ya ha sido retirado, parecía casi idéntico al sitio original de actualización de Windows 11 de Microsoft, con logotipos, fuentes y diseño de aspecto auténtico. El sitio prometía ayudar a los usuarios a instalar Windows 11 en sistemas no compatibles, pero en su lugar ofrecía la descarga de un archivo ISO cargado de malware. Los investigadores de CloudSEK llamaron al nuevo malware "Inno Stealer", ya que utiliza el instalador de Windows Inno Setup.
El malware desactiva las funciones de seguridad de Windows
En cuanto al modus operandi, se dice que el malware ejecuta múltiples procesos, incluyendo algunos que ejecutan scripts para desactivar varias características de seguridad de Windows, incluyendo la seguridad del Registro. El malware también añade excepciones al antivirus integrado Windows Defender e incluso desinstala programas de seguridad de terceros de Emsisoft y ESET. Una vez desactivado todo el software de seguridad, el malware ejecuta comandos con los máximos privilegios del sistema y crea un proceso llamado Windows11InstallationAssistant.scr que contiene el código de robo de datos. Además, según se informa, puede leer información de los navegadores web, incluidas las cookies almacenadas, las credenciales de inicio de sesión y mucho más.
Casi todos los navegadores principales son vulnerables al Inno Stealer, con la posible excepción de Firefox. El informe menciona a Chrome, Edge, Opera, Vivaldi, Comodo, Brave, Torch, y toda una serie de otros navegadores como vulnerables al malware, pero Firefox brilla por su ausencia en la lista. En cuanto al malware en sí, parece que también puede leer los datos almacenados en las carteras de criptomonedas y en el sistema de archivos del ordenador. En general, el malware Inno Stealer puede causar estragos en cualquier PC, pero este tipo de problemas suelen ser fáciles de evitar. Los investigadores recomiendan a los usuarios que eviten descargar archivos ISO de fuentes poco fiables y que se ciñan al canal oficial de actualizaciones de Windows para obtenerlas. Hay formas de instalar Windows 11 de forma segura en sistemas sin soporte oficial, pero no es esta.
