Con todo ello lo que se intenta es forzar la instalación de Windows 11 en aquellos ordenadores en los que, al menos en un principio, no se puede instalar el nuevo sistema. Precisamente por esta razón ahora os vamos a hablar de un peligro antes que nos podemos encontrar por esta situación.
Le contamos todo esto porque unos atacantes están instando a los usuarios a instalar una falsa actualización a Windows 11. El gran problema es que la misma llega con una serie de códigos maliciosos incluidos. Este malware que se encuentra oculto en la actualización que os mencionamos se encarga de robar datos del navegador que tengamos además de nuestras carteras de criptomonedas. Debemos tener presente que esta campaña maliciosa está actualmente activa.
Se basa en la manipulación de los resultados de búsqueda para dar prioridad a un sitio web que imita la página promocional de Microsoft para Windows 11. Todo ello con el fin de ofrecer esta falsa actualización. De este modo los responsables se aprovechan de los usuarios que se lanzan a instalar Windows 11 sin recibir el mensaje automáticamente.
Esto sucede si el equipo no cumple con ciertas especificaciones. Podemos afirmar que este sitio web malicioso del que os hablamos y que ofrece el falso Windows 11 sigue activo. Es más, cuenta con los logotipos oficiales de Microsoft y un botón que invita a la descarga del nuevo sistema para actualizar nuestro PC.
-Evita las instalaciones no oficiales de Windows 11
Con esto lo que os queremos decir es que si el visitante carga el sitio web malicioso a través de una conexión directa obtendrá un archivo ISO del supuesto sistema. Sin embargo, este alberga el ejecutable de un novedoso malware centrado en el robo de información. Tras una serie de análisis que se han realizado sobre este código malicioso, se ha sabido que el mismo no es parecido a otros detectados hasta el momento. De hecho, no se ha encontrado evidencia de que el malware haya sido cargado en la plataforma de escaneo Virus Total, por lo que es bastante nuevo.
El archivo se basa en el lenguaje de programación Delphi y es un ejecutable de instalación de Windows 11 contenido en la imagen ISO que bajamos. Al lanzarse vuelca un archivo temporal llamado is-PN131.tmp y crea otro archivo que genera un nuevo proceso utilizando la API CreateProcess de Windows. Esto ayuda a generar nuevos procesos y añadir cuatro archivos maliciosos. Además, el conjunto de momento está capacitado para saltarse las actuales soluciones de seguridad que tengamos instaladas.
De entre las principales capacidad de este malware, se incluye la recopilación de cookies de los navegadores y las credenciales almacenadas. Además, recoge los datos de las carteras de criptomonedas y los datos del sistema de archivos. Esto es algo que puede llevar a cabo en Chrome, Edge, Brave, Opera, o Vivaldi, entre otros. Igualmente es importante saber que todos los datos robados se copian mediante un comando PowerShell a un directorio temporal. A continuación, se cifran y se envían a un servidor remoto controlado por el atacante.