Actualización falsa de Windows 11 propaga malware RedLine

Los actores de amenazas han comenzado a distribuir instaladores de actualización de Windows 11 falsos a los usuarios de Windows 10, engañándolos para que descarguen y ejecuten el malware RedLine.

El momento de los ataques coincide con el momento en que Microsoft anunció la fase de implementación amplia de Windows 11, por lo que los atacantes estaban bien preparados para este movimiento y esperaron el momento adecuado para maximizar el éxito de su operación.

El ladrón RedLine es actualmente el capturador de información de contraseñas, cookies de navegador, tarjetas de crédito y billeteras de criptomonedas más ampliamente implementado, por lo que sus infecciones pueden tener consecuencias nefastas para las víctimas.

Según los investigadores de HP, que detectaron esta campaña, los actores utilizaron el dominio aparentemente legítimo «windows-upgraded.com» para la parte de distribución de malware de su campaña.

El sitio parece un sitio genuino de Microsoft y, si el visitante hace clic en el botón «Descargar ahora», recibe un archivo ZIP de 1,5 MB llamado «Windows11InstallationAssistant.zip», obtenido directamente de un CDN de Discord.

Phony website used for malware distribution
Vía BleepingComputer

La descompresión del archivo da como resultado una carpeta de 753 MB de tamaño, que muestra una impresionante tasa de compresión del 99,8%, lograda gracias a la presencia de relleno en el ejecutable.

Cuando la víctima inicia el ejecutable en la carpeta, se inicia un proceso de PowerShell con un argumento codificado.

A continuación, se inicia un proceso cmd.exe con un tiempo de espera de 21 segundos y, una vez que expira, se obtiene un archivo .jpg de un servidor web remoto.

Este archivo contiene una DLL con contenido organizado en forma inversa, posiblemente para evadir la detección y el análisis.

Finalmente, el proceso inicial carga la DLL y reemplaza el contexto del subproceso actual con ella. Esa DLL es una carga útil de ladrón RedLine que se conecta al servidor de comando y control a través de TCP para obtener instrucciones sobre qué tareas maliciosas debe ejecutar a continuación en el sistema recientemente comprometido.

Aunque el sitio de distribución está inactivo ahora, nada impide que los actores configuren un nuevo dominio y reinicien su campaña. De hecho, es muy probable que esto ya esté sucediendo en la naturaleza.

Windows 11 es una actualización importante que muchos usuarios de Windows 10 no pueden obtener de los canales de distribución oficiales debido a incompatibilidades de hardware, algo que los operadores de malware ven como una excelente oportunidad para encontrar nuevas víctimas.

Como informó BleepingComputer en enero, los actores de amenazas también están aprovechando los clientes de actualización legítimos de Windows para ejecutar código malicioso en sistemas Windows comprometidos, por lo que las tácticas informadas por HP no sorprenden en este momento.

Estos sitios peligrosos se promocionan a través de publicaciones en foros y redes sociales o mensajes instantáneos, por lo que es mejor no confiar en nada más que en las alertas oficiales del sistema de actualización de Windows.