La actualización no oficial de Windows 11 instala malware para robar información

Los piratas informáticos están atrayendo a los usuarios desprevenidos con una actualización falsa de Windows 11 que viene con malware que roba datos del navegador y billeteras de criptomonedas.

La campaña está actualmente activa y se basa en envenenar los resultados de búsqueda para impulsar un sitio web que imita la página promocional de Microsoft para Windows 11, para ofrecer al ladrón de información.

Microsoft ofrece una herramienta de actualización para que los usuarios verifiquen si su máquina es compatible con el último sistema operativo (SO) de la empresa. Un requisito es la compatibilidad con Trusted Platform Module (TPM) versión 2.0, que está presente en máquinas que no tienen más de cuatro años.

Los piratas informáticos se aprovechan de los usuarios que se apresuran a instalar Windows 11 sin dedicar tiempo a aprender que el sistema operativo debe cumplir con ciertas especificaciones.

El sitio web malicioso que ofrece el falso Windows 11 todavía está activo en el momento de escribir este artículo. Cuenta con los logotipos oficiales de Microsoft, favicons y un atractivo botón "Descargar ahora"


Si el visitante carga el sitio web malicioso a través de una conexión directa (la descarga no está disponible a través de TOR o VPN), obtendrá un archivo ISO que protege el ejecutable de un nuevo malware que roba información.

Los investigadores de amenazas de CloudSEK analizaron el malware y compartieron un informe técnico exclusivamente con BleepingComputer.

Proceso de infección

Según CloudSEK, los actores de amenazas detrás de esta campaña están utilizando un nuevo malware que los investigadores llamaron "Inno Stealer" debido a su uso del instalador de Windows Inno Setup.

Los investigadores dicen que Inno Stealer no tiene similitudes de código con otros ladrones de información actualmente en circulación y no han encontrado evidencia de que el malware se haya cargado en la plataforma de escaneo Virus Total.

El archivo del cargador (basado en Delphi) es el ejecutable de "instalación de Windows 11" contenido en la ISO que, cuando se inicia, descarga un archivo temporal llamado is-PN131.tmp  y crea otro archivo .TMP donde el cargador escribe 3078 KB de datos. .

CloudSEK explica que el cargador genera un nuevo proceso utilizando la  API de Windows CreateProcess que ayuda a generar nuevos procesos, establecer la persistencia y plantar cuatro archivos.

La persistencia se logra agregando un archivo .LNK (acceso directo) en el directorio de inicio y usando icacls.exe para configurar sus permisos de acceso para sigilo.


Dos de los cuatro archivos eliminados son secuencias de comandos de Windows para deshabilitar la seguridad del Registro, agregar excepciones de Defender, desinstalar productos de seguridad y eliminar el volumen oculto.

Según los investigadores, el malware también elimina las soluciones de seguridad de Emsisoft y ESET, probablemente porque estos productos lo detectan como malicioso.

El tercer archivo es una utilidad de ejecución de comandos que se ejecuta con los privilegios más altos del sistema; y el cuarto es un script VBA necesario para ejecutar dfl.cmd .

En la segunda etapa de la infección, se coloca un archivo con la extensión .SCR en el directorio C:\Users\\AppData\Roaming\Windows11InstallationAssistant del sistema comprometido.

Ese archivo es el agente que desempaqueta la carga útil del ladrón de información y la ejecuta generando un nuevo proceso llamado "Windows11InstallationAssistant.scr", igual que él mismo.


Capacidades de Inno Stealer

Las capacidades de Inno Stealer son típicas para este tipo de malware, incluida la recopilación de cookies del navegador web y credenciales almacenadas, datos en billeteras de criptomonedas y datos del sistema de archivos.

El conjunto de navegadores específicos y monederos criptográficos es extenso, incluidos Chrome, Edge, Brave, Opera, Vivaldi, 360 Browser y Comodo.



Una característica interesante de Inno Stealer es que la gestión de la red y las funciones de robo de datos son de subprocesos múltiples.

Todos los datos robados se copian a través de un comando de PowerShell al directorio temporal del usuario, se cifran y luego se envían al servidor de comando y control del operador ("windows-server031.com").


El ladrón también puede obtener cargas útiles adicionales, una acción que solo se realiza durante la noche, posiblemente para aprovechar un período en el que la víctima no está en la computadora.

Estas cargas útiles adicionales de Delphi, que toman la forma de archivos TXT, emplean el mismo cargador basado en Inno que juega con las herramientas de seguridad del host y usan el mismo mecanismo de establecimiento de persistencia.

Sus capacidades adicionales incluyen el robo de información del portapapeles y la filtración de datos de enumeración de directorios.

Consejos de seguridad

Toda la situación de actualización de Windows 11 ha creado un terreno fértil para la proliferación de estas campañas, y esta no es la primera vez que se informa algo así.

Se recomienda evitar la descarga de archivos ISO de fuentes oscuras y solo realizar actualizaciones importantes del sistema operativo desde el panel de control de Windows 10 u obtener los archivos de instalación directamente desde la fuente .

Si una actualización a Windows 11 no está disponible para usted, no tiene sentido intentar eludir las restricciones manualmente, ya que esto conllevará una serie de inconvenientes y graves riesgos de seguridad.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta