Una nueva campaña de malware camuflado como actualización de Windows está poniendo en jaque a los usuarios de Windows 11, especialmente en Europa y muy en concreto en Francia, aunque el alcance potencial es global y afecta de lleno también a usuarios españoles. Bajo la apariencia de un parche oficial para la versión 24H2 del sistema, los atacantes consiguen colarse en el ordenador y robar contraseñas, datos bancarios y credenciales de acceso sin levantar sospechas. Si crees que has sido víctima, consulta el checklist de qué revisar tras un incidente.
El truco se apoya en una supuesta “actualización importante de seguridad” distribuida desde una página que copia al detalle el portal de soporte de Microsoft. El archivo descargado parece totalmente legítimo, pasa los análisis de decenas de antivirus y está construido con herramientas que se usan a diario en software real. El problema es que, una vez se ejecuta, el sistema queda comprometido y el malware comienza a trabajar en silencio.
Cómo funciona la estafa de la falsa actualización de Windows
El ataque arranca en una web fraudulenta que imita con enorme precisión el soporte oficial de Microsoft. El dominio, como microsoft-update.support y variantes similares, utiliza errores ortográficos sutiles o añadidos a la URL para parecer verosímil, algo que a muchos usuarios les pasa totalmente desapercibido.
En esa página se anuncia una actualización acumulativa para Windows 11 24H2, con todo el atrezzo típico: número de artículo de la base de conocimientos (KB), texto técnico sobre correcciones de seguridad en el kernel, mejoras de rendimiento del menú Inicio y optimizaciones varias. Un gran botón azul invita a descargar el parche, que se presenta como algo urgente y necesario.
Al pulsar en el botón, la víctima descarga un archivo llamado WindowsUpdate 1.0.0.msi (o variaciones muy similares), de unos 83 MB de tamaño. A primera vista, no hay nada que haga saltar las alarmas: el paquete está creado con WiX Toolset, un conjunto de herramientas legítimo para generar instaladores de Windows, y los metadatos señalan a Microsoft como autor, con descripciones típicas de un instalador oficial. Casos similares han mostrado cómo utilidades legítimas pueden ser abusadas, como en ataques a herramientas de monitorización.
Todo ello provoca que tanto el usuario medio como muchos responsables de TI den por hecho que están ante una actualización auténtica. De hecho, los 69 motores antivirus analizados inicialmente no detectaron el archivo como peligroso, lo que confirma hasta qué punto el engaño está bien montado y por qué resulta tan difícil de identificar a simple vista; aprende a detectar malware fileless.
Un malware que se oculta en JavaScript y Python
El truco técnico está en que el instalador MSI despliega una aplicación basada en Electron en la carpeta AppData del usuario (por ejemplo, en C:\\Users\\<usuario>\\AppData\\Local\\Programs\\WindowsUpdate\\). Electron es un entorno legítimo, muy usado por aplicaciones populares, lo que ya de entrada da una falsa sensación de normalidad. Para protegerse, conviene blindar tu sistema.
El ejecutable principal, renombrado como WindowsUpdate.exe, es en realidad el shell estándar de Electron, totalmente limpio. La parte maliciosa no está en el binario, sino en el código JavaScript empaquetado en su interior y en una serie de scripts muy ofuscados que la mayoría de antivirus no revisan en profundidad.
Junto a la capa de Electron se utiliza un pequeño script en Visual Basic (AppLauncher.vbs), que actúa como lanzador inicial. Este script invoca la aplicación Electron empleando herramientas propias del sistema (como cscript.exe), una técnica de “living-off-the-land” que hace que en los registros de procesos todo parezca una ejecución normal de Windows.
Una vez la aplicación maliciosa está en marcha, genera un intérprete de Python camuflado, que se instala en carpetas temporales (por ejemplo, en C:\\Users\\<usuario>\\AppData\\Local\\Temp\\WinGet\\tools\\) y se hace pasar por un componente más del sistema. Desde ahí se despliegan paquetes como pycryptodome, psutil, pywin32 o PythonForWindows, habituales en herramientas de robo de información y que permiten cifrar datos robados, inspeccionar procesos, interactuar con el sistema y acceder a recursos internos de Windows.
Qué datos roba y cómo actúa dentro del PC
Una vez instalado, el malware comienza por recopilar información básica del equipo. En cuestión de segundos consulta servicios externos como myexternalip.com e ip-api.com para obtener la dirección IP pública y la geolocalización aproximada del dispositivo. Esto permite a los atacantes saber desde qué país y región se ejecuta el malware y adaptar, si lo desean, el resto de acciones.
A continuación, despliega una rutina de recolección de datos muy agresiva. El código se centra en extraer credenciales y datos sensibles almacenados en el sistema, sobre todo en los navegadores web: contraseñas guardadas, cookies de sesión, tokens de acceso, información de tarjetas de crédito y otros métodos de pago. También se han detectado funciones dirigidas a cuentas de servicios como Discord, modificando sus archivos para interceptar tokens de inicio de sesión, datos de pago vinculados y cambios en la autenticación en dos pasos.
El malware utiliza los paquetes de Python instalados para cifrar la información robada (por ejemplo con pbkdf2, SHA-256 o AES) y luego enviarla a la infraestructura de comando y control. Parte del tráfico malicioso pasa por servicios legítimos como Render y Cloudflare Workers, usando dominios que suenan a telemetría o sincronización del sistema, algo que puede colarse fácilmente entre los registros de red de una empresa sin llamar la atención.
Para la exfiltración final, se recurre a plataformas de compartición de archivos como GoFile, que permiten subir datos de forma anónima y efímera. Este tipo de servicios, al ser de uso general, son complicados de bloquear sin afectar a otros flujos legítimos de trabajo, lo que juega a favor de los atacantes. En caso de fuga de información, la recuperación de datos puede ser necesaria.
Un malware casi invisible para los antivirus
Uno de los aspectos que más preocupa a las firmas de ciberseguridad europeas es que, en los análisis iniciales, ningún motor antivirus detectó la amenaza ni en el ejecutable principal de Electron ni en el lanzador VBS. Tampoco había reglas YARA que coincidieran con el código, y el comportamiento se clasificaba en algunos sistemas como de bajo riesgo.
Esto no significa que los antivirus “fallen” como tal, sino que la arquitectura del ataque está pensada para pasar inadvertida. Por separado, cada pieza parece inofensiva: un instalador MSI creado con WiX Toolset, una app Electron estándar, scripts JavaScript ofuscados, un intérprete de Python renombrado y conexiones a servicios web conocidos.
El problema es que la lógica maliciosa se ejecuta en tiempo de ejecución, dentro de esos scripts y procesos camuflados, de manera que las soluciones basadas en firmas o en análisis superficiales del binario no ven nada raro. Solo un análisis que siga toda la cadena —desde que se descarga el MSI hasta que se suben los datos robados— revela que se trata de un ladrón de información de última generación.
Desde Malwarebytes y otros proveedores de seguridad ya se han incorporado nuevas detecciones y reglas para identificar esta familia de malware, pero el caso deja claro que un resultado de “cero detecciones” en portales como VirusTotal no garantiza en absoluto que un archivo sea seguro. Es, como mínimo, una señal de que puede tratarse de algo nuevo o muy bien oculto.
Persistencia: cómo se mantiene el malware tras reiniciar Windows
Para asegurarse de que sigue activo aunque el usuario apague o reinicie el ordenador, el malware implementa dos mecanismos de persistencia diferentes, ambos cuidadosamente camuflados para que parezcan procesos habituales del sistema.
Por un lado, modifica el Registro de Windows añadiendo un valor llamado SecurityHealth en la clave HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run, apuntando al ejecutable WindowsUpdate.exe dentro de la carpeta de programas creada. El nombre se parece mucho a “Windows Health” o a componentes de seguridad de Windows Defender, por lo que es fácil que pase desapercibido incluso para personal técnico.
Por otro, el malware crea un acceso directo llamado Spotify.lnk en la carpeta de inicio del usuario. Cualquiera que lo vea pensará que simplemente Spotify está configurado para arrancar al iniciar sesión, cuando en realidad lo que se ejecuta es parte de la cadena maliciosa. De esta forma, aunque el usuario reinicie el equipo, el programa vuelve a activarse de forma automática.
Además, durante el análisis se observó que el código invocaba repetidamente la herramienta taskkill.exe para cerrar procesos en masa, algo típico de los ladrones de información que quieren tumbar navegadores, otros malware competidores o incluso soluciones de seguridad antes de empezar su rutina de robo de datos.
Una campaña que nace en Francia pero que afecta también a Europa y España
Aunque el sitio fraudulento original se encontró escrito íntegramente en francés y se dirige sobre todo a usuarios francófonos, los investigadores señalan que este tipo de campañas se extienden con rapidez a otros países. El propio análisis de KELA sobre programas de robo de información sitúa a Francia, España, Reino Unido e Italia entre los países con más víctimas de este tipo de amenazas.
El contexto francés ayuda a entender por qué se eligió este mercado como objetivo inicial: en los últimos años se han producido filtraciones masivas de datos personales de operadores de telecomunicaciones, servicios de empleo y diferentes compañías, lo que ha dejado millones de registros circulando por foros criminales. Con nombre, dirección, correo y proveedor conocidos, resulta mucho más sencillo crear un señuelo verosímil en el idioma local.
Pero el modelo es fácilmente exportable. Adaptar la misma web falsa a otros idiomas, incluido el español, apenas requiere cambiar el texto y algunos detalles visuales, manteniendo intacta la infraestructura técnica. Eso significa que usuarios en España o en cualquier país de la UE podrían encontrarse con versiones localizadas de esta página de “actualización de Windows” en cuestión de semanas o incluso días.
Por ese motivo, las recomendaciones de los expertos se aplican también a nivel europeo: desconfianza absoluta ante cualquier actualización que no venga de Windows Update, revisión cuidadosa de las URLs y, en caso de duda, comprobación directa desde el propio sistema en lugar de seguir enlaces externos llegados por correo, mensajería o redes sociales.
Cómo saber si tu PC puede estar infectado
Si en algún momento has descargado una supuesta actualización de Windows 11 24H2 desde una página que no fuera Microsoft.com, es buena idea revisar el equipo en profundidad. Algunas señales y pasos de comprobación básicos son los siguientes:
- Comprobar la clave del Registro en HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run y buscar una entrada llamada SecurityHealth que apunte a WindowsUpdate.exe dentro de AppData.
- Revisar la carpeta de Inicio del menú de programas y verificar si hay un acceso directo llamado Spotify.lnk que tú no hayas creado.
- Buscar la carpeta C:\\Users\\<usuario>\\AppData\\Local\\Programs\\WindowsUpdate\\ y eliminarla si contiene ejecutables sospechosos.
- Borrar los archivos temporales en rutas como C:\\Users\\<usuario>\\AppData\\Local\\Temp\\WinGet\\tools\\, donde se aloja parte del entorno de Python usado por el malware.
Tras estas comprobaciones manuales, conviene realizar un análisis completo del sistema con una solución de seguridad actualizada, preferiblemente una que incluya detección de comportamiento y no solo firmas clásicas. Aunque la primera oleada del malware pasara desapercibida, las reglas de detección se van actualizando con rapidez.
Recomendaciones para evitar caer en futuras falsas actualizaciones
Más allá de este caso concreto, el ataque deja varias lecciones claras para usuarios de Windows en España y en el resto de Europa. La primera y más importante es que Microsoft distribuye sus actualizaciones de forma oficial solo por dos vías: a través de Windows Update, dentro de la configuración del sistema, y mediante el Catálogo de Microsoft Update (catalog.update.microsoft.com) para descargas manuales avanzadas.
Cualquier web que ofrezca un supuesto instalador de “Windows Update” o un parche acumulativo en formato MSI o EXE, fuera de esos canales, debe considerarse sospechosa. Incluso aunque tenga el logotipo de Microsoft, un diseño impecable y referencias técnicas convincentes. La estética se copia con facilidad; lo que no se puede falsificar es que la URL termine realmente en microsoft.com.
También es fundamental desconfiar de enlaces que lleguen por correo electrónico, SMS, WhatsApp o redes sociales instando a instalar una actualización urgente. En vez de hacer clic, lo prudente es abrir el menú Inicio, entrar en Configuración > Windows Update y pulsar en “Buscar actualizaciones”. Si hay algo pendiente, aparecerá ahí sin necesidad de acudir a páginas externas.
Por último, los expertos recomiendan activar la autenticación en dos pasos en servicios sensibles (banca online, correo electrónico, redes sociales, plataformas de pago) y evitar guardar contraseñas directamente en el navegador si no se cuenta con un gestor de contraseñas robusto. En el peor de los casos, reducir la cantidad de credenciales expuestas limita el daño que puede causar un ladrón de información de este tipo y conviene revisar qué tipo de software deberías evitar para mantener la salud de tu PC.
Todo este episodio confirma que, en plena carrera entre atacantes y defensores, las falsas actualizaciones de Windows se han convertido en una herramienta muy eficaz para los ciberdelincuentes. La combinación de webs casi idénticas a las oficiales, instaladores legítimos manipulados y código malicioso escondido en capas de JavaScript y Python obliga a extremar la precaución: actualizar siempre desde los canales oficiales de Microsoft y desconfiar de cualquier parche que llegue por vías alternativas sigue siendo, hoy por hoy, la mejor forma de evitar que una simple “actualización” se convierta en una brecha total de privacidad y seguridad.
from Actualidad Gadget https://ift.tt/IokDHX9
via IFTTT
No hay comentarios:
Publicar un comentario