Sitio de Soporte Falso de Windows Entrega Malware Roba-contrasenas
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Un sitio web con typo que se hace pasar por el soporte de Microsoft está distribuyendo un falso MSI de actualización de Windows. Una vez instalado, el MSI despliega una aplicación basada en Electron que activa un iniciador VBS, lanza un intérprete de Python renombrado y carga módulos de robo de credenciales. Los datos robados se canalizan a través de Render, Cloudflare Workers y GoFile, mientras que la persistencia se establece mediante un valor de registro Run y un acceso directo en el inicio. La actividad está dirigida a usuarios francófonos.
Investigación
Investigadores obtuvieron WindowsUpdate 1.0.0.msi y confirmaron que despliega un contenedor Electron (WindowsUpdate.exe) además de un lanzador VBS (AppLauncher.vbs). El proceso de Electron luego genera un entorno de ejecución de Python oculto (_winhost.exe), que importa bibliotecas comunes de robo de información para recoger credenciales de navegador, tokens de Discord y datos de pago. La telemetría de red muestra el perfilado inicial del host a www.myexternalip.com y ip-api.com, seguido por tráfico a C2 de datawebsync-lvmv.onrender.com y sync-service.system-telemetry.workers.dev, con exfiltración observada en store8.gofile.io. La persistencia se establece creando un valor SeguridadSalud bajo HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun y colocando Spotify.lnk en la carpeta de inicio del usuario.
Mitigación
Elimine el valor del Registro de SeguridadSalud y borre Spotify.lnk de la carpeta de inicio del usuario. Elimine el directorio de WindowsUpdate bajo AppDataLocalPrograms y elimine la carpeta temporal WinGettools. Restablezca las contraseñas almacenadas, habilite MFA/2FA y realice un escaneo completo usando protecciones antimalware actualizadas.
Respuesta
Si las alertas se activan por el MSI sospechoso, ejecución de VBS o creación de la clave Run, aísle el host, capture datos volátiles y realice un análisis forense de los caminos de AppData relevantes. Bloquee los dominios C2 identificados y rastree el tráfico a los servicios de reconocimiento listados. Elimine artefactos de persistencia y refuerce los flujos de trabajo de actualización segura para prevenir ejecuciones repetidas.
Flujo de Ataque
Detecciones
Posible Infiltración / Exfiltración de Datos / C2 a través de Servicios / Herramientas de Terceros (mediante proxy)
Ver
Posible Intento de Comunicación de Dominio de Consulta de IP (a través de dns)
Ver
Posible Infiltración / Exfiltración de Datos / C2 a través de Servicios / Herramientas de Terceros (a través de dns)
Ver
Binarios / Scripts Sospechosos en Ubicación de Autoinicio (a través de file_event)
Ver
LOLBAS WScript / CScript (a través de process_creation)
Ver
Posibles Puntos de Persistencia [ASEPs – Software/NTUSER Hive] (a través de registry_event)
Ver
COIs (HashSha256) para detectar: Este sitio web falso de soporte de Windows entrega malware roba-contraseñas
Ver
Conexiones de Red Sospechosas Relacionadas con Malware Roba-Contraseñas [Conexión de Red de Windows]
Ver
Sitio Falso de Soporte de Windows Entrega Malware Roba-Contraseñas [Creación de Procesos de Windows]
Ver
Persistencia en el Registro a través de Entrada de Salud de Seguridad Falsa de Windows [Evento del Registro de Windows]
Ver
Ejecución de Simulación
Pre-requisito: La Verificación Previa de Telemetría y Línea Base debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa del Ataque y Comandos:
Un adversario ha obtenido una presencia en la estación de trabajo del usuario y desea mantener la persistencia a través de reinicios mientras evade la inspección casual. Dejan caer una carga maliciosa llamada WindowsUpdate.exe en la carpeta AppData del usuario, luego crean una clave Run denominada SecurityHealth que apunta a esta carga, imitando deliberadamente el servicio legítimo de “Windows Security Health”. Como la regla observa exactamente esta ruta de clave, la actividad debería ser señalada.powershell # 1. Dejar caer la carga maliciosa (simulado con un archivo de texto inofensivo para pruebas) $payloadPath = "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe" New-Item -ItemType Directory -Path (Split-Path $payloadPath) -Force | Out-Null Set-Content -Path $payloadPath -Value "Este es un ejecutable malicioso de prueba." -Encoding ASCII # 2. Crear la clave Run maliciosa que se hace pasar por SeguridadSalud $runKey = 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' New-ItemProperty -Path $runKey -Name 'SecurityHealth' -Value $payloadPath -PropertyType String -Force -
Script de Prueba de Regresión:
powershell # ------------------------------------------------- # Prueba de Regresión – Mascarada de Persistencia en el Registro # ------------------------------------------------- # Propósito: Reproducir la telemetría exacta que la regla Sigma espera. # Funciona en Windows 10/11 con privilegios de administrador. # Definir ubicación de la carga $payload = "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe" # Asegúrese de que el directorio exista if (-not (Test-Path (Split-Path $payload))) { New-Item -ItemType Directory -Path (Split-Path $payload) -Force | Out-Null } # Crear un ejecutable simulado (en una prueba real este sería el binario malicioso) Set-Content -Path $payload -Value "MALICIOUS_BINARY_PLACEHOLDER" -Encoding ASCII # Registrar la clave Run con un nombre disfrazado $runKeyPath = 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' New-ItemProperty -Path $runKeyPath -Name 'SecurityHealth' -Value $payload -PropertyType String -Force Write-Host "Clave Run maliciosa creada. Espere una alerta de detección en breve." # ------------------------------------------------- -
Comandos de Limpieza:
powershell # Eliminar la clave Run maliciosa Remove-ItemProperty -Path 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' -Name 'SecurityHealth' -ErrorAction SilentlyContinue # Eliminar el archivo de carga simulado y su carpeta $payloadDir = Split-Path "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe" Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue Write-Host "Limpieza completada."