Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Un sitio web con typo que se hace pasar por el soporte de Microsoft está distribuyendo un falso MSI de actualización de Windows. Una vez instalado, el MSI despliega una aplicación basada en Electron que activa un iniciador VBS, lanza un intérprete de Python renombrado y carga módulos de robo de credenciales. Los datos robados se canalizan a través de Render, Cloudflare Workers y GoFile, mientras que la persistencia se establece mediante un valor de registro Run y un acceso directo en el inicio. La actividad está dirigida a usuarios francófonos.
Investigación
Investigadores obtuvieron WindowsUpdate 1.0.0.msi y confirmaron que despliega un contenedor Electron (WindowsUpdate.exe) además de un lanzador VBS (AppLauncher.vbs). El proceso de Electron luego genera un entorno de ejecución de Python oculto (_winhost.exe), que importa bibliotecas comunes de robo de información para recoger credenciales de navegador, tokens de Discord y datos de pago. La telemetría de red muestra el perfilado inicial del host a www.myexternalip.com y ip-api.com, seguido por tráfico a C2 de datawebsync-lvmv.onrender.com y sync-service.system-telemetry.workers.dev, con exfiltración observada en store8.gofile.io. La persistencia se establece creando un valor SeguridadSalud bajo HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun y colocando Spotify.lnk en la carpeta de inicio del usuario.
Mitigación
Elimine el valor del Registro de SeguridadSalud y borre Spotify.lnk de la carpeta de inicio del usuario. Elimine el directorio de WindowsUpdate bajo AppDataLocalPrograms y elimine la carpeta temporal WinGettools. Restablezca las contraseñas almacenadas, habilite MFA/2FA y realice un escaneo completo usando protecciones antimalware actualizadas.
Respuesta
Si las alertas se activan por el MSI sospechoso, ejecución de VBS o creación de la clave Run, aísle el host, capture datos volátiles y realice un análisis forense de los caminos de AppData relevantes. Bloquee los dominios C2 identificados y rastree el tráfico a los servicios de reconocimiento listados. Elimine artefactos de persistencia y refuerce los flujos de trabajo de actualización segura para prevenir ejecuciones repetidas.
graph TB classDef action fill:#99ccff classDef process fill:#ffcc99 classDef persistence fill:#c2f0c2 classDef collection fill:#ffd580 classDef credential fill:#ffb3ba classDef defense fill:#d9d9d9 classDef c2 fill:#ffeb99 classDef exfil fill:#c2c2f0 action_user_click[«<b>Acción</b> – T1566.001 Phishing: el usuario hace clic en un enlace malicioso»] class action_user_click action process_msiexec[«<b>Proceso</b> – T1218.007 Msiexec: ejecuta paquete MSI malicioso vía msiexec.<br/><b>Descripción</b>: ejecutable de Windows Installer usado para instalar o ejecutar MSI maliciosos.»] class process_msiexec process process_vbs[«<b>Proceso</b> – T1059.005 Visual Basic: ejecuta script lanzador VBS.<br/><b>Descripción</b>: ejecución mediante Windows Script Host usando VBScript.»] class process_vbs process process_electron[«<b>Proceso</b> – T1036.003 Masquerading: ejecuta wrapper Electron disfrazado de app legítima.»] class process_electron process process_python[«<b>Proceso</b> – T1036.003 Masquerading: proceso Python renombrado _winhost.exe.»] class process_python process persistence_registry[«<b>Persistencia</b> – T1547.001 Claves Run del Registro: agrega clave SecurityHealth.»] class persistence_registry persistence persistence_shortcut[«<b>Persistencia</b> – T1547.009 Modificación de acceso directo: crea Spotify.lnk para autoejecución.»] class persistence_shortcut persistence collection_ip[«<b>Recolección</b> – T1590.005 Direcciones IP: recopila información de IP externa.»] class collection_ip collection credential_browser[«<b>Credencial</b> – T1555.003 Credenciales de navegadores: extrae contraseñas guardadas.»] class credential_browser credential credential_discord[«<b>Credencial</b> – T1539 Robo de cookies: obtiene tokens de Discord.»] class credential_discord credential defense_terminate[«<b>Evasión de defensa</b> – T1564.011 Eliminación de artefactos: termina procesos de seguridad.»] class defense_terminate defense defense_obfuscation[«<b>Evasión de defensa</b> – T1027 Ofuscación, T1140 Decodificación: ejecuta payload JavaScript ofuscado.»] class defense_obfuscation defense c2_communicate[«<b>C2</b> – T1102.003 Servicio web: comunicación HTTP con servidor de comando y control.»] class c2_communicate c2 exfil_cloud[«<b>Exfiltración</b> – T1567.002 Nube: sube datos robados a almacenamiento en la nube.»] class exfil_cloud exfil action_user_click –>|lleva_a| process_msiexec process_msiexec –>|ejecuta| process_vbs process_vbs –>|lanza| process_electron process_electron –>|crea| process_python process_python –>|establece| persistence_registry process_python –>|crea| persistence_shortcut process_python –>|recopila| collection_ip process_python –>|roba| credential_browser process_python –>|roba| credential_discord process_python –>|evade| defense_terminate process_python –>|usa| defense_obfuscation defense_obfuscation –>|comunica| c2_communicate c2_communicate –>|exfiltra| exfil_cloud
Flujo de Ataque
Detecciones
Posible Infiltración / Exfiltración de Datos / C2 a través de Servicios / Herramientas de Terceros (mediante proxy)
Ver
Posible Intento de Comunicación de Dominio de Consulta de IP (a través de dns)
Ver
Posible Infiltración / Exfiltración de Datos / C2 a través de Servicios / Herramientas de Terceros (a través de dns)
Ver
Binarios / Scripts Sospechosos en Ubicación de Autoinicio (a través de file_event)
Ver
LOLBAS WScript / CScript (a través de process_creation)
Ver
Posibles Puntos de Persistencia [ASEPs – Software/NTUSER Hive] (a través de registry_event)
Ver
COIs (HashSha256) para detectar: Este sitio web falso de soporte de Windows entrega malware roba-contraseñas
Ver
Conexiones de Red Sospechosas Relacionadas con Malware Roba-Contraseñas [Conexión de Red de Windows]
Ver
Sitio Falso de Soporte de Windows Entrega Malware Roba-Contraseñas [Creación de Procesos de Windows]
Ver
Persistencia en el Registro a través de Entrada de Salud de Seguridad Falsa de Windows [Evento del Registro de Windows]
Ver
Ejecución de Simulación
Pre-requisito: La Verificación Previa de Telemetría y Línea Base debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa del Ataque y Comandos:
Un adversario ha obtenido una presencia en la estación de trabajo del usuario y desea mantener la persistencia a través de reinicios mientras evade la inspección casual. Dejan caer una carga maliciosa llamada WindowsUpdate.exe en la carpeta AppData del usuario, luego crean una clave Run denominada SecurityHealth que apunta a esta carga, imitando deliberadamente el servicio legítimo de “Windows Security Health”. Como la regla observa exactamente esta ruta de clave, la actividad debería ser señalada.powershell # 1. Dejar caer la carga maliciosa (simulado con un archivo de texto inofensivo para pruebas) $payloadPath = "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe" New-Item -ItemType Directory -Path (Split-Path $payloadPath) -Force | Out-Null Set-Content -Path $payloadPath -Value "Este es un ejecutable malicioso de prueba." -Encoding ASCII # 2. Crear la clave Run maliciosa que se hace pasar por SeguridadSalud $runKey = 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' New-ItemProperty -Path $runKey -Name 'SecurityHealth' -Value $payloadPath -PropertyType String -Force -
Script de Prueba de Regresión:
powershell # ------------------------------------------------- # Prueba de Regresión – Mascarada de Persistencia en el Registro # ------------------------------------------------- # Propósito: Reproducir la telemetría exacta que la regla Sigma espera. # Funciona en Windows 10/11 con privilegios de administrador. # Definir ubicación de la carga $payload = "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe" # Asegúrese de que el directorio exista if (-not (Test-Path (Split-Path $payload))) { New-Item -ItemType Directory -Path (Split-Path $payload) -Force | Out-Null } # Crear un ejecutable simulado (en una prueba real este sería el binario malicioso) Set-Content -Path $payload -Value "MALICIOUS_BINARY_PLACEHOLDER" -Encoding ASCII # Registrar la clave Run con un nombre disfrazado $runKeyPath = 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' New-ItemProperty -Path $runKeyPath -Name 'SecurityHealth' -Value $payload -PropertyType String -Force Write-Host "Clave Run maliciosa creada. Espere una alerta de detección en breve." # ------------------------------------------------- -
Comandos de Limpieza:
powershell # Eliminar la clave Run maliciosa Remove-ItemProperty -Path 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' -Name 'SecurityHealth' -ErrorAction SilentlyContinue # Eliminar el archivo de carga simulado y su carpeta $payloadDir = Split-Path "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe" Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue Write-Host "Limpieza completada."