Los malos actores esconden malware en un sitio falso de actualización de Windows 11
El blog de investigación de amenazas de HP ha advertido que actores maliciosos están aprovechando el reciente lanzamiento de Windows 11 para distribuir malware. Estos malos actores registraron el dominio, windows-upgrade[.]com, que lleva a los usuarios desprevenidos a un sitio web convincente que se enmascara como un sitio legítimo de actualización de Windows 11. Este dominio intenta difundir el malware RedLine Stealer, que roba datos del ordenador de la víctima y los vende en foros clandestinos
Al hacer clic en el botón de descarga del sitio falso de actualización de Windows 11, se descargará un archivo zip llamado Windows11InstallationAssistant, que está alojado en Discord. Este archivo zip tiene un tamaño de 1,5 MB y se expande a 753 MB cuando se descomprime. El zip alcanza un asombroso ratio de compresión del 99,8%, posiblemente debido al relleno altamente comprimible. Los malos actores pueden haber incluido este relleno ya que algunos antivirus no pueden escanear archivos muy grandes
La ejecución de Windows11InstallationAssistant.exe lanza un PowerShell, que descarga el RedLine Stealer. El malware roba la información sensible de la víctima, como contraseñas, información bancaria, carteras de criptomonedas e información del ordenador del usuario.
Este último intento de aprovechar las tendencias recientes, como el lanzamiento de Windows 11, sigue a intentos anteriores similares de propagar el malware RedLine Stealer, como cuando los hackers replicaron la página de descarga de Discord en diciembre de 2021. Estos malos actores suelen distribuir el malware a través de sitios de descarga falsos. Por lo tanto, los usuarios sólo deben descargar desde sitios web de confianza.
