Microsoft ha identificado una nueva amenaza cibernética que ha logrado infectar a millones de ordenadores con Windows a través de una sofisticada campaña de publicidad maliciosa. Este ataque, que se inició en sitios de streaming ilegales, pone en peligro la seguridad de los usuarios exponiéndolos al robo de credenciales, información bancaria y otros datos sensibles.
¿Cómo se ejecuta el ataque?
Los ciberdelincuentes han diseñado una estrategia en varias fases para lograr infectar los sistemas sin ser detectados rápidamente. El proceso comienza cuando un usuario visita una plataforma ilegal de contenido en streaming. Allí, anuncios maliciosos lo redirigen a repositorios alojados en GitHub y otras plataformas donde se descargan archivos que contienen el primer estadio de la infección.
Este primer archivo ejecuta comandos que recopilan información detallada del sistema, como el sistema operativo, la cantidad de memoria disponible y la configuración gráfica, antes de enviarla a un servidor remoto. Con estos datos, los atacantes determinan qué tipo de carga útil desplegar en la siguiente fase.
Fases del malware
El proceso de infección no ocurre de inmediato, sino que se desarrolla en varias etapas para asegurar que la amenaza permanezca activa el mayor tiempo posible sin ser detectada. Estas son las principales fases:
- Primera etapa: Recopilación de información del sistema y envío a los servidores de los atacantes.
- Segunda etapa: Descarga de archivos adicionales que permiten ejecutar código malicioso y obtener persistencia en el sistema.
- Tercera etapa: Instalación de malware especializado como Lumma o Doenerium, enfocado en el robo de credenciales, datos bancarios y criptomonedas.
- Última etapa: Ejecución de un archivo en formato .com, utilizando AutoIt para automatizar procesos que facilitan el robo de archivos y credenciales almacenadas en el equipo.
Plataformas utilizadas para distribuir el malware
Para distribuir las cargas maliciosas, los atacantes han recurrido a diversas plataformas de almacenamiento y comunicación. Aunque GitHub fue la herramienta predominante para alojar los archivos iniciales, Microsoft también identificó actividades en Dropbox y Discord. Estas plataformas fueron utilizadas como medios de transmisión de software malicioso antes de que sus administradores pudieran eliminarlas.
Los expertos en ciberseguridad clasifican esta campaña de ataques bajo el nombre de Storm-0408, un término genérico que engloba actores de amenazas que emplean tácticas como phishing, manipulación de resultados de búsqueda y publicidad engañosa para comprometer sistemas.
Para conocer más sobre cómo eliminar virus de tus sistemas, puedes leer sobre cómo eliminar anuncios maliciosos en Windows que pueden ser parte de este tipo de infecciones.
Un problema que afecta a múltiples sectores
Aunque el ataque comenzó en plataformas de consumo masivo, como sitios de streaming ilegales, su impacto no se limita únicamente a usuarios domésticos. Microsoft ha confirmado que organizaciones y empresas de diversos sectores también han sido víctimas del malware, lo que demuestra la flexibilidad de este tipo de amenazas para adaptarse a diferentes entornos.
Los atacantes no han sido vinculados con ningún grupo específico, pero la sofisticación del ataque deja claro que se trata de una operación bien organizada con recursos suficientes para evadir medidas de seguridad durante un tiempo prolongado. Los constantes avances de los ciberdelincuentes hacen imprescindible que usuarios y empresas refuercen sus medidas de seguridad. Mantener el sistema operativo actualizado, utilizar soluciones antivirus confiables y evitar descargar archivos de fuentes desconocidas son algunas de las precauciones clave para minimizar los riesgos de infección.
Es fundamental que los usuarios reconozcan los sitios de contenido ilegal como posibles fuentes de infección y se mantengan informados sobre cómo prevenir problemas relacionados con discos duros que no se muestran en Windows, que podrían indicar una infección o daño en el sistema.
El seguimiento y la prevención son claves en la ciberseguridad, por lo que resulta esencial estar alerta a cualquier comportamiento sospechoso que pueda sugerir un ataque inminente.
Mantenerse al día con las mejores prácticas de seguridad en el uso de dispositivos Windows es vital, y por ello es recomendable revisar periódicamente guías sobre cómo eliminar problemas de congelación en Windows.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.