Windows tiene la mala costumbre de anunciarte que se va a poner a actualizar el sistema siempre en el peor momento, cuando tienes prisa para apagar tu PC o para iniciar tu sesión. En versiones anteriores de Windows (hasta Windows 10, de hecho), no era raro que el sistema se reiniciara automáticamente tras instalarse una actualización.
De modo que, cuando de pronto tu pantalla se queda en azul y se muestra la típica pantalla de 'Windows está instalando actualizaciones', muchos usuarios sólo se frustran y esperan a que termine el trámite. Sin embargo, hay ciberestafadores que se aprovechan de eso para colarte una falsa actualización y distribuir malware.
Según advierte la compañía de ciberseguridad Malwarebytes, esta campaña se basa en el uso de popups: esas ventanitas del navegador que se abren en segundo plano y que, gracias a los sistemas de bloqueo publicitario cada vez son menos frecuentes.
En este caso, su creador ha tenido la idea de forzar, vía JavaScript, que el popup se abra en modo 'ventana completa', de tal modo que a partir de ahí todo queda en manos del parecido estético (notable) y de la credulidad de cada usuario.
Los investigadores de Malwarebytes localizaron más de una docena de dominios utilizados por esta campaña, varios de ellos pensados para suplantar páginas web pornográficas, como ocurre con esta imitación de XHamster:
Algo no cuadra aquí…
Sin embargo, algo debería hacernos sospechar cuando, de pronto, vemos cómo la pantalla de actualización nos pide hacer clic en un botón de 'OK' para instalar una "actualización de seguridad crítica"… y ésta se descarga a una barra de descargas idéntica —mira tú que cosas— a la de tu navegador. Aun así, muchos usuarios hacen clic en esa supuesta actualización y contribuyen así a infectar su sistema.
La siguiente imagen muestra la pantalla 'de actualización' junto al archivo recién descargado (abajo) y un pantallazo superpuesto con el código de la web maliciosa. Dos elementos más deben hacernos sospechar:
- Comprensible que los usuarios anglohablantes caigan en eso, pero, ¿por qué tu Windows iba a empezar a hablar inglés de pronto?
- Y otra pregunta aún mejor, ¿por qué tu Windows iba a sugerir que te bajaras una supuesta actualización… de Google Chrome (ChromeUpdate.exe)?
No se lo han currado mucho… y aún así, esta estafa es peligrosa porque, una vez descargado el archivo ejecutable a tu disco duro, es probable que si no has actualizado muy recientemente tu antivirus, éste no detecte como maliciosa la descarga, que podríamos definir como 'cargador de malware' (es decir, no es un virus en sí mismo, sino que actúa de instalador sigiloso de uno o varios).
En ese caso, el virus que está instalando esta campaña es un 'infostealer', un buscador y filtrador de contraseñas y otra información confidencial, denominado Aurora, un viejo conocido de las compañías de antivirus que lleva un año circulando por foros de ciberdelincuencia.
Vía | BleepingComputer
Imágenes | vía MalwareBytes
En Genbeta | Qué fue del virus 'ILoveYou', el malware que hizo colapsar Internet y causó 10.000 millones de dólares en daños
Ver 1 comentarios