Si un sitio web te pide que instales manualmente una " actualización de Windows " desde un gran botón azul de descarga, cierra esa pestaña inmediatamente. Malwarebytes acaba de detectar un sitio web falso de soporte de Microsoft (microsoft-update.support) que simula ofrecer una actualización acumulativa para Windows 24H2, pero en realidad distribuye malware para robar contraseñas.
Toda la página está diseñada para parecer oficial, incluso utiliza referencias al estilo de la base de conocimientos (KB) y descarga un archivo MSI de 83 MB llamado Windowsupdate1.0.0.msi que parece bastante legítimo incluso en las propiedades del archivo.
Lo que realmente hace el malware
Actualmente, el sitio web está en francés, lo que sugiere que la estafa se dirige principalmente a usuarios francófonos. Sin embargo, Malwarebytes advierte que este tipo de operaciones pueden propagarse rápidamente. El instalador se creó con el conjunto de herramientas legítimo WiX Toolset, y sus metadatos se falsificaron para que pareciera un producto de Microsoft. Esto facilita que pase desapercibido tanto para los usuarios como para las comprobaciones de seguridad básicas.
El MSI instala una aplicación basada en Electron en la carpeta AppData del usuario y, a continuación, ejecuta componentes adicionales, incluido un entorno de ejecución de Python disfrazado. Desde allí, el malware incorpora herramientas y paquetes relacionados con el robo de datos, como componentes utilizados para el cifrado, la inspección de procesos y un acceso más profundo a Windows. La empresa afirma que el código malicioso también ataca a Discord modificando sus archivos para interceptar tokens de inicio de sesión, detalles de pago y cambios en la autenticación de dos factores.
Malwarebytes afirma que también identifica a las víctimas comprobando su dirección IP y geolocalización, se pone en contacto con la infraestructura de comando y control alojada a través de Render y Cloudflare Workers, y sube los datos robados a través de Gofile.
Por qué deberías prestar atención a esta advertencia
Un detalle inquietante que se revela en el informe es que, cuando Malwarebytes lo analizó, el ejecutable principal y el lanzador no mostraron ninguna detección en decenas de motores antivirus de VirusTotal. La compañía afirma que esto se debe a que el malware oculta su lógica dentro de JavaScript ofuscado, componentes legítimos de Electron y herramientas de Python en tiempo de ejecución, en lugar de un binario obviamente malicioso. En resumen, no caiga en la trampa de este sitio web falso de soporte de Windows. No le ayudará a actualizar su PC; intentará robarle.