Archivo - Windows Surface Pro 9. - WINDOWS - Archivo
MADRID, 14 Abr. (Portaltic/EP) -
Una página web fraudulenta se ha hecho pasar por el soporte técnico de Microsoft para instar a las víctimas a que instalen una actualización de Windows que incluye un 'malware' diseñado para robar contraseñas, datos bancarios y credenciales de acceso a cuentas.
La campaña ha sido descubierta por la firma de seguridad Malwarebytes, que detectó un dominio web con un error ortográfico, que presentaba un diseño idéntico al del soporte oficial de Microsoft, donde se promocionaba la actualización acumulativa Windows 24H2.
La página incluía el botón para acceder a la actualización y el número de la Base de conocimientos (KB). Lo que instalaba era un paquete 'WindowsUpdate 1.0.0.msi' de 83MB en el que aparentemente todo era legítimo, compilado con 'WiX Toolset 4.0.0.5512', un marco de trabajo de código abierto, como ha explicado la empresa en su blog.
De hecho, Malwarebytes no detectó ninguna amenaza en sus 69 motores antivirus, y ha apuntado a que el 'malware' se encuentraba dentro del código JavaScript incluido en la aplicación Electron que se instala al ejecutar el paquete msi.
Tras ello, se instalaba un conjunto de paquetes de Python que contenían herramientas de robo de datos como pycryptodome, psutil, pywin32 o PythonForWindows. Y para sobrevivir al reinicio del equipo, escribía un nombre del valor que se hacía pasar por Windows Health y creaba un archivo de acceso directo de Spotify para ejecutarse cuando el sistema se iniciaba.
"La combinación de un señuelo de phishing adaptado al mercado local, un instalador MSI creado de forma legítima, una envoltura Electron y una carga útil de Python implementada en tiempo de ejecución pone de manifiesto cómo están evolucionando los programas de robo de datos", apuntan desde Malwarebytes.
Frente a este tipo de ataques, Malwarebytes ha recomendado comprobar la clave del Registro, verificar que la aplicación de Spotify sea la oficial, borrar archivos temporales, cambiar contraseñas guardadas en el navegador y activar la autenticación en dos pasos.
Pero, sobre todo, ha recordado que la forma más segura de actualizar el sistema operativo es a través del menú de ajustes del propio Windows, evitando así cualquier injerencia externa.