Nueva amenaza: Malware simula actualización de Windows 11 para robar tus datos

Una nueva campaña de ciberataques pone en riesgo a las personas usuarias de Windows 11. Un malware sofisticado se disfraza de actualización oficial del sistema operativo. Investigadores de Malwarebytes detectaron esta amenaza activa. El objetivo es robar contraseñas, datos bancarios y credenciales de acceso. Es crucial estar alerta ante esta nueva modalidad de engaño.

El engaño comienza en un sitio web fraudulento. Imita con gran precisión el portal de soporte de Microsoft. Allí se ofrece una falsa actualización para la versión 24H2 de Windows 11. La página promociona una supuesta “actualización acumulativa” con un número de artículo técnico. Incluye una descripción convincente sobre mejoras de rendimiento y seguridad. Un gran botón azul invita a descargar el archivo, identificado como “WindowsUpdate 1.0.0.msi”.

El instalador pesa 83 MB y fue creado con WiX Toolset. Esta es una herramienta legítima para empaquetar programas en Windows. Sus propiedades fueron alteradas para aparentar autenticidad. El archivo figura como desarrollado por Microsoft. Contiene descripciones similares a las de un instalador oficial. Esto reduce la sospecha de muchas personas usuarias.

Una vez ejecutado, el malware empieza a recolectar información del equipo infectado. Primero obtiene la dirección IP pública del dispositivo. También registra su ubicación aproximada. Luego instala varios componentes ocultos. Estos permiten acceder a datos guardados en el navegador.

El programa malicioso roba contraseñas, cookies de sesión y métodos de pago. Incluso extrae información de cuentas de Discord. Los investigadores explican su funcionamiento. Utiliza paquetes de Python y código oculto en archivos JavaScript. Estas funciones cifran la información robada. Luego la envían a un servidor controlado por los atacantes.

El malware puede modificar aplicaciones instaladas. Por ejemplo, altera Discord para interceptar tokens de acceso. También captura cambios de contraseña y datos de autenticación en dos pasos.

Uno de los aspectos más preocupantes es su capacidad de evasión. La amenaza logró pasar desapercibida para las herramientas de seguridad.

Según Malwarebytes, ninguno de los 69 motores antivirus analizados detectó el archivo como peligroso.

Esto ocurre porque el ejecutable parece legítimo. El comportamiento malicioso se esconde en código JavaScript altamente ofuscado. Muchos antivirus no revisan esta capa en profundidad.

Para mantenerse activo después de reiniciar el equipo, el malware usa dos mecanismos de persistencia.

• Modifica el registro de Windows. Crea una entrada llamada “SecurityHealth”. Este nombre imita el sistema de notificaciones de seguridad de Windows.
• Agrega un acceso directo denominado “Spotify.lnk” en la carpeta de inicio automático. Así, el programa malicioso se ejecuta cada vez que encendés la computadora.

Mantenerse informado y usar software de seguridad actualizado es fundamental. ¡Siempre descargá actualizaciones de fuentes oficiales!