PSA: no abras estos correos electrónicos falsos de ‘Windows Update’

Si recibe un correo electrónico que le indica que actualice Windows, no lo presione.

Los investigadores de seguridad de SpiderLabs de Trustwave descubrieron una campaña de ransomware difundida a través de correos electrónicos de phishing que engañan a las personas para que crean que necesitan actualizar sus PC con Windows.

El ransomware es una forma desagradable de software malicioso que bloquea una computadora hasta que se paga un rescate. Los atacantes toman el control de una computadora, generalmente engañando a las personas con estafas de phishing, luego bloquean el acceso a datos específicos o a un sistema completo. Recuperar un sistema es una tarea difícil y requiere un especialista en recuperación o que la víctima pague una tarifa de rescate.

Mejor opción

HP 15-db0092ns - Ordenador portátil 15.6 HD

HP 15-db0092ns - Ordenador portátil 15.6 HD (AMD A4-9125 Dual-Core, 4 GB RAM, 1 TB SATA, AMD Radeon R3, Windows 10 Home) Negro - Teclado QWERTY Español en Amazon

Mejor relación calidad precio

HP 15s-eq0004ns - Ordenador portátil de 15.6 HD

HP 15s-eq0004ns - Ordenador portátil de 15.6 HD (AMD Ryzen 3 3200U, 8 GB RAM, 256 GB, AMD Radeon Vega 3, Windows 10 Home) Blanco - Teclado QWERTY Español en Amazon

HP Gaming Pavilion 15-ec0005ns - Ordenador portátil de 15.6

HP Gaming Pavilion 15-ec0005ns - Ordenador portátil de 15.6 FHD (AMD Ryzen 5 3550H, 8 GB RAM, 512 GB SSD, gráficos NVIDIA GeForce GTX 1050-3G, Sin sistema operativo) negro - Teclado QWERTY Español en Amazon

Huawei Matebook D15 - Ordenador Portátil de 15.6 FullHD

Huawei Matebook D15 - Ordenador Portátil de 15.6 FullHD (AMD Ryzen 5 3500u, Multi-Screen Collaboration, 8GB RAM, 256GB SSD. Windows 10 Home), Mystic Silver, Teclado Qwerty Español en Amazon

Acer Aspire 3 - Ordenador Portátil de 15.6 FHD Comfy

Acer Aspire 3 - Ordenador Portátil de 15.6 FHD Comfy View LED LCD (Intel Core i5-6200U, 8 GB de RAM, SSD de 512GB, Sin sistema operativo) negro - Teclado QWERTY Español en Amazon

ASUS K543BA-GQ749 - Portátil de 15.6 HD (A9-9425, 8GB

ASUS K543BA-GQ749 - Portátil de 15.6 HD (A9-9425, 8GB RAM, 256GB SSD, AMD Radeon Graphics, sin sistema operativo) Gris Estrella - Teclado QWERTY Español en Amazon

HP 14s-dq1008ns - Ordenador portátil de 14 FHD (Intel

HP 14s-dq1008ns - Ordenador portátil de 14 FHD (Intel Core i5-1035G1, 8 GB RAM, 512 GB SSD, tarjeta gráfica integrada, sin Sistema operativo) gris - Teclado QWERTY Español en Amazon

HP Pavilion x360 - 14-dh1011ns - Ordenador portátil de 14

HP Pavilion x360 - 14-dh1011ns - Ordenador portátil de 14 FullHD (Intel Core i3-10110U, 4GB de RAM, 128 GB SSD, Intel UHD Graphics, Windows 10) Plata ceniza - teclado QWERTY Español en Amazon

ASUS ZenBook 14 UX431FA-AM132T - Portátil de 14

ASUS ZenBook 14 UX431FA-AM132T - Portátil de 14 FullHD (Intel Core i5-10210U, 8GB RAM, 512GB SSD, Intel UHD, Windows 10) Metal Azul Plata - Teclado QWERTY Español en Amazon

Lenovo 81HL004XSP Portatil V130, 15.6 HD (1366x768)

Lenovo 81HL004XSP Portatil V130, 15.6 HD (1366x768), Intel Celeron N4000, 4GB RAM, 256GB SSD en Amazon

En este caso, se envía un correo electrónico alegando que es de Microsoft. Contiene el título "¡Actualización crítica de Microsoft Windows!" y una sola frase: "Instale la última actualización crítica de Microsoft adjunta a este correo electrónico".

El archivo adjunto no contiene ninguna actualización de Windows, en cambio, es un descargador malicioso de .NET que entrega malware para infectar un sistema. Trustwave le dijo a BleepingComputer que la campaña de spam no estaba dirigida, sino que se envió a destinatarios de todo el mundo.

SpiderLabs descubrió que el archivo adjunto ".jpg" de 28 KB llamado "b1jbl53k" ejecutará un archivo ejecutable ahora desaparecido de Github llamado "bitcoingenerator.exe". Esto fue diseñado para plantar una semilla maliciosa en el sistema que encripta los archivos de los usuarios y luego les agrega una misteriosa extensión de archivo "777".

Sin embargo, BleepingComputer descubrió que los atacantes aparentemente cometieron un error al distribuir el malware como un archivo .jpg. Entonces, en lugar de ejecutar correctamente y encriptar archivos, la aplicación maliciosa simplemente abre un visor de fotos con el error "el archivo parece estar dañado, dañado o es demasiado grande".

Trustwave no sabe por qué los atacantes usaron esta extensión de archivo con el ransomware, pero advierte que todavía se puede abrir a través de la línea de comandos con privilegios de administrador. En ese momento, una nota de rescate llamada "Cyborg_DECRYPT.txt" se deja en una máquina.

"El Cyborg Ransomware puede ser creado y difundido por cualquiera que se apodere del constructor", escribió la investigadora de seguridad Diana Lopera de Trustwave en una publicación de blog . "Se puede enviar correo no deseado utilizando otros temas y se puede adjuntar en diferentes formas para evadir las puertas de enlace de correo electrónico. Los atacantes pueden crear este ransomware para usar una extensión de archivo de ransomware conocida para engañar al usuario infectado de la identidad de este ransomware".

No está claro cuántos usuarios se han visto afectados por la campaña de ransomware, pero Trustwave encontró otras tres variantes y un video de YouTube que explica cómo funciona. La compañía de seguridad incluso descubrió dos repositorios de Github llamados "Cyborg-Builder-Ransomware" y "Cyborg-russian-version".

La Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) enumera formas de protegerse contra este tipo de campañas. Las mejores prácticas incluyen nunca hacer clic en los enlaces o abrir archivos adjuntos a correos electrónicos no solicitados, hacer copias de seguridad de los datos regularmente y actualizar el software y los sistemas operativos a las últimas versiones.

Microsoft no envía actualizaciones de software a través de correos electrónicos, sino que utiliza notificaciones directamente a través del sistema operativo Windows, así que sospeche de cualquier correo electrónico que afirme ser de la empresa.