Devious malware hosted on Discord pretends to be Windows 11 installer

If you’re looking for a way to circumvent Microsoft’s Windows 11 system requirements, don’t go clicking on any old website and downloading an installer. To be expected, nefarious actors have already loaded up a fake Windows 11 installer onto the web and are installing malware onto users’ PCs while they attempt to install the latest OS.

A website going by the name windows-upgraded[dot]com was recently analysed by HP’s threat research team, and they found it attempting to distribute RedLine Stealer, a piece of malware that sets out to steal user information.

The website, as pictured by HP below (I don’t recommend you visit it personally), looks like a mirror image of Microsoft’s own Windows 11 installer website. However, beneath the “Get Windows 11” banner, the button labelled “Download Now” leads to a dodgy installer hosted on Discord’s content delivery network (CDN).

The installer is called Windows11InstallationAssistant.zip, and it’s only 1.5MB big compressed. It contains six Windows DLLs, an XML file, and a portable executable file. Once uncompressed, the file weighs in at 753MB, and therein lies some clue as to its nefarious intent.

“Since the compressed size of the zip file was only 1.5 MB, this means it has an impressive compression ratio of 99.8%,” HP researchers say. “This is far larger than the average zip compression ratio for executables of 47%. To achieve such a high compression ratio, the executable likely contains padding that is extremely compressible. Viewed in a hex editor, this padding is easily spotted.”

The padding looks like a bunch of 0x30 byte codes and has no impact on the operation of the file. This may also be there as a way to circumvent anti-virus scans, HP suggests, as these may not attempt to completely scan a file of this size.

See also  Tesla soluciona el problema del timbre del cinturón de seguridad en 817,000 autos

Devious malware hosted on Discord pretends to be Windows 11 installer
Devious malware hosted on Discord pretends to be Windows 11 installer

HP Wolf Security snapped this screenshot of the offending Windows 11 website with spoofed download links. (Image credit: HP Wolf Security)

Cuando se ejecuta el archivo, realiza los movimientos de descarga y ejecución del malware RedLine Stealer, que intenta robar información de usuario, contraseñas, información de tarjetas de crédito y billeteras de criptomonedas. Luego intentará llamar a casa a una dirección IP y enviar esta información a los atacantes.

Como señala HP, esto también es similar a otro ataque que analizó en 2021. Los atacantes utilizaron una técnica de suplantación similar para configurar una página web de Discord con un nombre estrechamente relacionado pero mal escrito para engañar a los usuarios para que descargaran un instalador peligroso que se hacía pasar por el propio Discord. HP señala que este ataque usó los mismos servidores DNS, malware y registrador de dominio que el de Windows 11.

En cuanto a Windows 11, hay formas de descargarlo de forma segura. Microsoft está lanzando el nuevo sistema operativo, lanzado en octubre, a las PC compatibles gradualmente. Dicho esto, no a todas las PC se les ofrecerá Windows 11, y eso se debe a los requisitos del sistema basados ​​en la seguridad de los que depende el sistema operativo.

Si está en ese barco, con una CPU más antigua que no es compatible con Windows 11, no recomendamos buscar en la web una ISO o un instalador. En su lugar, es posible que pueda instalar el sistema operativo a través de la página de descargas oficial de Microsoft, utilizando un medio de instalación o ISO de Windows 11. Sin embargo, hay algunas preocupaciones aquí. Microsoft no garantiza que recibirá actualizaciones críticas de esta manera, y es posible que se quede con una versión insegura de su sistema operativo.

See also  Intel crea un negocio de fundición de mil millones de dólares para apoyar la tecnología disruptiva

Por seguridad, entonces, lo mejor que puede hacer es quedarse quieto hasta que actualice su hardware más adelante. Windows 11 no se diferencia mucho de Windows 10, en realidad, por lo que no se está perdiendo mucho, sino esquinas redondeadas. Incluso la mejor función de juego próxima de Windows 11, DirectStorage, llegará a Windows 10.

Los piratas informáticos de Discord distribuyen malware que puede permanecer persistente durante meses

(Crédito de la imagen: TheDigitalArtist – Pixabay y Discord)

Discord como objetivo y anfitrión de malware

La empresa de seguridad Sophos advirtió el año pasado que Discord se ha convertido en un centro de malware. En ese momento, registró que el 4 % de las descargas de malware protegido por TLS procedían de Discord, ya que ofrece una forma para que los malos actores carguen archivos y los compartan con otros. Debido a la popularidad de esta plataforma, se espera que los jugadores sean los principales objetivos del malware en el servicio.

Discord no está solo en su capacidad de alojar archivos malos. Cualquier plataforma generada por el usuario está abierta a la explotación. Da la casualidad de que Discord, el popular servicio VoIP, ha crecido tanto en popularidad y alcance que ha sido el objetivo tanto de los atacantes que buscan explotar sus millones de usuarios como de aquellos que buscan explotar su CDN para alojar archivos de malware.

Recientemente, los investigadores de seguridad de RiskIQ, propiedad de Microsoft, describieron cómo la CDN de Discord puede y se ha utilizado para alojar varios tipos de malware. 

Informa que una forma común para que los atacantes introduzcan dicho malware en las computadoras de los usuarios es vincularse a un dominio de Discord con un enlace en el formato: hxxps://cdn.discordapp[.]com/attachments/{ChannelID}/{ ID de archivo adjunto}/{nombre de archivo}. Luego, un atacante podría vincular esta URL para redirigir a un usuario desde otra URL de aspecto más legítimo a un servidor Discord que aloja archivos dudosos.

See also  La oferta de Steam Lunar New Year está en vivo

paseo a bordo

(Crédito de la imagen: MSI)

La mejor placa base para juegos : las mejores placas disponibles
La mejor placa base AMD : el nuevo hogar de tu nuevo Ryzen

El tipo de malware más común descubierto por RiskIQ fue un troyano, destinado a falsificar la apariencia de una aplicación o descarga real. La descarga del instalador de Windows 11 antes mencionada, por ejemplo. Sin embargo, también encontró evidencia de 27 tipos de malware únicos alojados en la CDN de Discord.

No es solo el malware directo lo que es una amenaza, los estafadores recientemente se apoderaron de la URL mnemónica de los servicios de NFT en Discord y la redireccionaron a su propio servidor de estafa en Discord. El problema aquí es que CryptoBatz simplemente cambió su URL de discordia sin ajustar todos los mensajes anteriores en las redes sociales para reflejar el cambio, y los estafadores luego tomaron la URL anterior como propia. Los estafadores pueden haber ganado hasta $ 40,000 solo con este lío.

Los investigadores de seguridad están haciendo su parte para informar estos problemas a Discord, y Discord está tratando de eliminar el malware lo mejor que puede, pero donde una puerta se cierra, otra se abre. Dado que eso ha sido cierto desde los albores de las computadoras, recomendamos apegarse a los viejos consejos y ser cauteloso con los sitios web y las descargas no oficiales. También parece aconsejable cierta precaución con respecto a los enlaces en los servidores de Discord.

bullfight-doc
bullfight-doc