HP ha descubierto falsas versiones de instalación de Windows 11 destinadas a usuarios que tienen Windows 10 y cuyo objetivo es que descarguen y ejecuten el malware RedLine stealer. Ya hemos publicado de este malware que está creado para secuestrar y robar constraseñas y cookies de nuestros navegadores y en los últimos meses ha llegado dentro de gestores de contraseñas y escondido en información de la variante Omicrón de la Covid.
Los investigadores de HP, empresa que ha hecho pública esta información, dicen que el comienzo de estos ataques coincidió con el momento en que Microsoft anunció la ampliación de la fase de despliegue de Windows 11, hace unos días, «por lo que los atacantes estaban bien preparados para este movimiento y esperaron el momento adecuado para maximizar el éxito de su operación», de acuerdo con HP.
RedLine stealer es actualmente el secuestrador de contraseñas, cookies del navegador, tarjetas de crédito y monederos de criptomonedas más extendido que existe. Según los investigadores, los hackers utilizaron una URL que parece real: «windows-upgraded.com» (como puedes ver en la foto de portada) para distribuir su malware.
Así infecta a los usuarios
Un usuario de Windows 10 recibe una notificación para descargar Windows 11 y pueden acceder con esta a «windows-upgraded.com». Si hace clic en el botón «Descargar ahora», recibe un archivo ZIP de 1,5 MB llamado «Windows11InstallationAssistant.zip», obtenido directamente de una CDN de Discord. Al descomprimir el archivo se obtiene una carpeta de 753 MB de tamaño.
Cuando la víctima lanza el ejecutable en la carpeta, se inicia un proceso PowerShell codificado. A continuación, se lanza un proceso cmd.exe, se espera unos segundos y, tras esto, se obtiene un archivo .jpg de un servidor web remoto. «Este archivo contiene un DLL con contenidos dispuestos en forma inversa, posiblemente para evadir la detección y el análisis», dicen los expertos.
Finalmente, el proceso inicial carga el DLL, el cual es una carga útil del RedLine Stealer que se conecta al servidor de comando y control a través de TCP para obtener instrucciones sobre las tareas maliciosas que tiene que ejecutar a continuación en el sistema que ahora está comprometido.
Según han descubierto los investigadores, esta web de distribución está ahora fuera de servicio, pero dicen que no parece dificil que sea posible crear un nuevo dominio y reiniciar una campaña similar. Windows 11 es una actualización del software de Microsoft que muchos usuarios de Windows 10 no pueden obtener fácilmente por los canales de distribución oficiales debido a incompatibilidades de hardware.
