Investigadores detectaron una campaña que busca propagar RedLine Stealer, un popular malware que roba credenciales almacenadas en el navegador y que se distribuye como un falso instalador de actualización de Windows 11.
El pasado 14 de diciembre Microsoft dejó de dar soporte para Windows 10 versión 2004, conocida como Windows 20H1. Para poder seguir teniendo soporte y recibiendo actualizaciones, los usuarios deberían haber actualizado a la versión 21H1 o a Windows 11. En este contexto, ya en octubre de 2021 Microsoft estaba ampliando la cantidad de equipos que podían soportar Windows 11 para que fomentar su adopción y que los usuarios puedan pasarse a la última versión del sistema operativo. Como era de esperarse, este escenario captó el interés de algunos cibercriminales que comenzaron a lanzar campañas para distribuir malware aprovechando la situación.
Esta semana, investigadores de HP publicaron detalles de una campaña de ingeniería social que busca engañar a los usuarios con un falso instalador de Windows 11. Utilizando un dominio falso registrado como windows-upgraded[.]com (que ya fue dado de baja) que tenía un diseño similar al sitio oficial de Microsoft para Windows 11, los actores maliciosos ofrecían a las potenciales víctimas la descarga de un falso instalador bajo el nombre de archivo “Windows11InstallationAssistant.zip” que a su vez estaba alojado en Discord.
Una vez descargado y descomprimido el archivo ZIP, la víctima desprevenida se encontrará con un ejecutable bajo el nombre Windows11InstallationAssistant.exe. Al ejecutar el archivo se desencadena un proceso PowerShell que deriva en la ejecución de cmd.exe y luego el proceso descarga un archivo llamado win11.jpg desde un servidor remoto, que a su vez contiene una DLL con el payload de RedLine Stealer.
Este malware es uno de los más utilizados para el robo de credenciales que luego se comercializan en la dark web. Además de poder robar credenciales almacenadas en el navegador web, RedLine Stealer tiene la capacidad de obtener información almacenada por la función autocompletar, como datos de la tarjeta de crédito, así como información sobre apps de correo, VPN, billeteras de criptomonedas, etc. Una vez que el malware recolecta esta información, el programa malicioso se conecta a través de TCP a un servidor de comando y control (C&C) para enviar la información o recibir nuevas instrucciones de los operadores.
Vale la pena recordar que este mismo malware fue utilizado en una campaña que se distribuía a través de enlaces en la descripción de videos en YouTube y que fue reportada en octubre del año pasado.
Por último, recordamos a los lectores siempre descargar software de sitios oficiales y verificar dos veces que la descarga se está realizando desde el sitio legítimo y no de uno con una apariencia similar.