Malwarebytes, una empresa de ciberseguridad, descubrió un sitio web falso que se hace pasar por soporte oficial de Microsoft. Este sitio, microsoft-update.support, ofrece una supuesta actualización de Windows 24H2, pero en realidad instala malware que roba contraseñas.
Según el sitio web Digital Trends, el sitio está diseñado para parecer oficial, incluso usando referencias estilo KB y ofreciendo un archivo MSI de 83MB llamado Windowsupdate1.0.0.msi. Este archivo parece legítimo, incluso en las propiedades del archivo, lo que puede confundir a los usuarios.
Actualmente, el sitio está en francés, lo que sugiere que el objetivo inicial son los usuarios de habla francesa. Sin embargo, Malwarebytes advierte que estos fraudes pueden expandirse rápidamente. El instalador utiliza WiX Toolset, una herramienta legítima, y su metadatos están falsificados para parecer creados por Microsoft. Esto ayuda a evadir algunas comprobaciones de seguridad básicas.
TE PUEDE INTERESAR: WhatsApp Web podría tener casi 50 nuevos temas próximamente
Qué debes saber
- El sitio falso ofrece una actualización de Windows 24H2, pero en realidad instala malware.
- El archivo MSI de 83MB parece legítimo, lo que puede engañar a los usuarios.
- El malware se instala en la carpeta AppData y lanza componentes adicionales, incluyendo un runtime de Python disfrazado.
- El malware roba datos, como tokens de inicio de sesión, detalles de pago y cambios de autenticación de dos factores, especialmente en Discord.
- Aunque el malware es sofisticado, no fue detectado por varios motores antivirus en VirusTotal.
Especificaciones técnicas
- Tamaño del archivo MSI: 83MB
- Nombre del archivo: Windowsupdate1.0.0.msi
- Herramientas utilizadas: WiX Toolset, Electron, Python
- Objetivos: robo de contraseñas, tokens de inicio de sesión, detalles de pago, cambios de autenticación de dos factores
Contenido generado con IA y editado por el equipo editorial.
Foto: Archivo FOLOU.