Investigadores de ciberseguridad han descubierto una sofisticada campaña de phishing que suplanta los canales de soporte oficiales de Microsoft para distribuir malware. El sitio engaña a los usuarios para que descarguen una supuesta "actualización acumulativa" para Windows 11 versión 24H2, la cual, en realidad, instala un troyano diseñado para sustraer contraseñas.
La firma de seguridad Seqrite fue la primera en identificar la amenaza, señalando que los atacantes diseñaron el sitio para que fuera prácticamente idéntico a los portales legítimos de actualización de Windows. Una vez que el usuario hace clic en el enlace de descarga, el sitio inicia la instalación de un archivo ejecutable malicioso.
El malware evade la detección
Esta variante específica de malware ha sido desarrollada para eludir las protecciones antivirus convencionales. Los investigadores descubrieron que el archivo malicioso emplea técnicas avanzadas de ofuscación para permanecer oculto ante el software de seguridad tradicional durante la fase inicial de la infección.
Una vez instalado, el malware opera de forma silenciosa en segundo plano. Su objetivo son las credenciales almacenadas en los navegadores web, incluyendo contraseñas guardadas, datos de autorrelleno y cookies de sesión. Posteriormente, los atacantes exfiltran esta información confidencial a servidores remotos, dejando las cuentas de la víctima expuestas a accesos no autorizados.
Los expertos advierten que esta amenaza es particularmente peligrosa porque aprovecha la expectativa legítima que rodea al lanzamiento de Windows 11 24H2. Al prometer una "actualización acumulativa" necesaria, los atacantes explotan la confianza que los usuarios depositan en los protocolos oficiales de mantenimiento del sistema.
Los analistas de seguridad recomiendan a los usuarios descargar las actualizaciones de software únicamente a través del menú de Windows Update integrado en el sistema operativo. Se debe evitar hacer clic en enlaces provenientes de sitios web de terceros o foros de soporte no oficiales, incluso si dichas páginas parecen profesionales o utilizan la imagen de marca oficial.
Si un usuario sospecha que ha descargado el archivo malicioso, los profesionales de seguridad recomiendan desconectar el equipo de la red de inmediato. Es necesario realizar un análisis completo con un software de seguridad reconocido y actualizado, o bien llevar a cabo una restauración limpia del sistema para garantizar que el malware sea erradicado por completo.
