Si bien a menudo se nos recomienda esperar antes de descargar las actualizaciones del sistema operativo hasta que se resuelvan los errores, a veces la emoción simplemente nos supera. Un hacker en particular contó con que los usuarios salivaran ante la oportunidad de descargar un nuevo sistema operativo y lanzó un instalador falso de Windows 11 cargado con malware.
HP descubre un instalador falso
Fue HP quien notó la instalador falso de Windows 11 y no una empresa de seguridad, para variar.
HP explicó en una publicación de blog: “El dominio llamó nuestra atención porque se registró recientemente, imitó una marca legítima y aprovechó un anuncio reciente”.
El 26 de enero de 2022, Microsoft anunció el último grupo de PC elegibles para Windows 11. Un día después, HP encontró al impostor en un sitio web que tenía el dominio «windows-upgraded».[.]com.”
Este dominio tenía todas las campanas y silbatos que necesitaba para parecer legítimo y, por supuesto, incluía un botón «Descargar». Sin embargo, lo que se descarga es un troyano que puede robar sus contraseñas u otros datos.
Malware en lugar del instalador de Windows 11
Si bien se siente satisfecho después de encontrar este instalador, pronto dejará de estarlo cuando su PC se llene de malware.
Después de presionar el botón Descargar, el archivo que recibirá es un archivo ZIP de 1,5 MB con el nombre «Windows11InstallationAssistant». Descomprima el archivo y ahora será 753MG, ya que el pirata informático agregó «relleno» al código.
“Una de las razones por las que los atacantes podrían haber insertado un área de relleno de este tipo, haciendo que el archivo sea muy grande, es que los archivos de este tamaño podrían no ser analizados por un antivirus y otros controles de análisis, lo que aumenta las posibilidades de que el archivo pueda ejecutarse sin obstáculos e instalar el malware,” HP más explicado.
Si intenta instalar Windows 11 desde este archivo, el paquete de malware RedLine Stealer se descargará en su PC. Está disponible en foros clandestinos de ciberdelincuentes y es capaz de robar contraseñas y datos que se completan automáticamente en su navegador.
Esta operación es similar a una que analizó HP en diciembre de 2021. El hacker utilizó el dominio “discrodappp[.]com” y se hacía pasar por un instalador de Discord. Tanto este dominio como el del instalador falso de Windows 11 usaban el mismo registrador de dominio, servidores DNS y tipo de malware. El dominio más reciente ya no está en línea.
Para acompañar las advertencias de no descargar actualizaciones de inmediato, si nos apresuramos a descargar, también debemos estar atentos a los piratas informáticos que intentan aprovechar la situación, lo que podría ser mucho peor que un software con errores. Es probable que haya más piratas informáticos planeando esfuerzos similares, pero más sigilosos, la próxima vez.