Actualización falsa de Windows en el navegador Deliver Aurora Stealer

Aurora Stealer Spreads via Fake Windows Update
Hackers try to convince users to install a malicious package

La falsa actualización de Windows se convirtió una vez más en una forma de propagación de malware. Las actualizaciones son una parte bastante rutinaria de la experiencia del usuario de Windows. Sobre el último 7 años, Los usuarios de Windows solían ver el familiar icono de actualización en la bandeja.. gente inexperta, sin embargo, No conozco la mecánica de la actualización de Windows., y puede quedar atrapado bajo el disfraz de una actualización “legítima” y “confiable”. Delincuentes que aparentemente difunden el software espía Aurora optó por ese enfoque para difundir su malware.

Actualizaciones falsas de Windows en el navegador: ¿de qué se trata??

Incluso los usuarios más novatos de Windows probablemente hayan visto la sección Actualización de Configuración en Windows al menos una vez. Ahí están todas las actualizaciones, incluidos los de Microsoft Defender, son mostrados. Este es el único lugar donde los usuarios pueden observar y controlar la instalación de parches, sin ninguna excepción. Este último, sin embargo, no es tan obvio, y los hackers lo usan para su bien.

actualizacion de Windows
La sección Windows Update es el único lugar donde puede iniciar la actualización del sistema

De hecho, Este no es el primer caso en el que se explota el tema de Windows Update.. Desde el lanzamiento de Windows 10, cuando Microsoft empezó a ofrecer actualizaciones de su nuevo sistema operativo de forma bastante obsesiva, Aparecieron numerosas campañas que se hacían pasar por las infames notificaciones del sistema.. Se engañó a los usuarios para que hicieran clic en el "botón de instalación" que activaba la instalación del malware.. El caso actual es casi el mismo., pero diferentes en posibles consecuencias.

Más amenudo, trucos como pancartas/páginas falsas de actualización de Windows tenían como objetivo instalar complementos de navegador maliciosos, software publicitario o programas no deseados. Estos tres son desagradables, todavía no es crítico. En el caso de la campaña más reciente, las víctimas reciben el ladrón de Aurora: una amenaza de un grado completamente diferente.

¿Qué es un ladrón de auroras??

aurora es una novata ejemplo de ladrón de información, emergiendo a principios de otoño 2022. La primera forma de propagación que utilizó también fue digna de mención: el malware. exploited ads in Google Search propagarse. En ese tiempo, La campaña de publicidad maliciosa en Google Ads fue inesperada, y Aurora tuvo un gran comienzo.

Sí mismo, Este malware parece tener algunas características que vale la pena echarle un vistazo.. Inmediatamente después de la ejecución, Aurora no comprueba la presencia de VM "clásica", pero para el entorno VINO. Este kit de herramientas para Linux permite ejecutar la mayoría de programas de Windows, incluso cuando no están portados a la plataforma *NIX de manera adecuada. Los analistas de malware aprecian WINE por su capacidad de observar el comportamiento del malware. y ausencia de cualquier contraataque por parte del malware, a diferencia de las máquinas virtuales y herramientas de depuración.

Cuando se trata de funcionalidad, Aurora parece ser un ejemplo clásico de robo de información que apunta a datos del navegador., fichas de sesión, y billeteras criptográficas como aplicación de escritorio y extensiones de navegador. En primer lugar, Reúne una pequeña cantidad de información del sistema para tomarle las huellas dactilares.. Nombre del sistema, nombre de usuario, HWID, UPC, RAM, GPU, resolución de pantalla y ubicación del archivo de malware van acompañados de dos valores específicos de la muestra (ID de compilación y ID de grupo) y se envían al servidor C2.

Ladrón de datos de huellas dactilares Aurora
Archivo JSON con información del sistema., que Aurora envía durante la conexión C2 inicial

robo de datos

Después de la huella digital inicial, El malware comprueba los archivos del navegador web para localizar bases de datos SQLite. con galletas, historial de búsqueda y datos de inicio de sesión. Habiendo hecho eso, comienza a buscar extensiones de billeteras criptográficas por su ID de extensión. En general, hay 100+ extensiones que busca. Además, comienza a comprobar el Datos de aplicación/Roaming carpeta para ver si hay aplicaciones de billetera criptográfica de escritorio. Si hay alguno presente, El malware recopila datos de bases de datos. Estas billeteras se utilizan para almacenar credenciales en.

Una vez que Aurora termine con las criptomonedas y demás, cambia a tokens de sesión y credenciales para varias aplicaciones populares. En particular, apunta a Steam y Discord: robar su token de sesión les permite hacerse cargo de la sesión del usuario. Telegram trata al usuario de otra manera, por lo tanto, el malware simplemente intenta extraer todos los datos disponibles relacionados con la sesión.. Con utilidades de acceso FTP, El malware funciona de manera similar al contenido del navegador web: extrae datos confidenciales de bases de datos ubicadas en la carpeta del programa..

Detalles inusuales

Amplias capacidades de ladrón son amenazantes, aunque no es el detalle más interesante del malware Aurora. En primer lugar, la campaña de difusión parece estar relacionada con una fila de URL explotado para mostrar la pancarta maligna. Algunos de ellos pertenecen al grupo de nombres de dominio rusos., y algunos contienen frases obscenas en ruso en las URL.

activossd[.]ru
pochelvpizdy[.]ru
evaluados[.]ru
click7adilla[.]ru
oled8kultra[.]sitio
activossd6[.]ru
activodebian[.]ru
grhfgetraeg6yrt[.]sitio
moskovpizda[.]ru
disco duro activo[.]ru
oled8kultra[.]ru
xhamster-18[.]ru
bastardo estúpido[.]ru
04042023[.]ru
clickaineasdfer[.]ru
chistauyavoda[.]ru
xxxxxxxxxxxxxxx[.]ru

Una vez que la víctima abre el sitio, muestra el banner que dice sobre Windows Update y reproduce una animación. Entonces, pide finalizar la configuración de la actualización “instalando la actualización de seguridad crítica” – un archivo descargado cuando el «actualizar» Me senté 95%. La solicitud de actualizar un navegador de terceros para finalizar el parche de Windows suena ridícula, pero para usuarios inexpertos puede parecer normal. De hecho, la actualización" es un cargador de InvalidPrinter que actúa como precursor de Aurora. Aunque, no está obligado a entregar sólo éste – otras cepas de malware puede aparecer también.

Actualización falsa de Windows
Página típica con actualización falsa de Windows. Su apariencia puede cambiar ligeramente según el caso..

¿Cómo apareció la página falsa de actualización de Windows??

Obviamente, la mayoría de los usuarios que presenciaron o incluso fueron víctimas de esa estafa Nunca visitará estos sitios por su cuenta.. Además, probablemente no podrán acceder a ellos manualmente; simplemente no responden. Esto sucede porque dichos sitios web esperan a los clientes de adware: el tipo específico de malware que muestra promociones maliciosas y no deseadas a sus víctimas. Este virus cambia las propiedades de red de un sistema., obligándolo a conectarse al sitio mencionado a través de un puerto específico.

Incluso lejos de la falsa actualización de Windows, El adware es algo bastante desagradable.. Mostrar anuncios tipo spam distrae y molesta, pero cuando estas promociones contengan contenido malicioso, las cosas se vuelven peligrosas. El caso que describí anteriormente es una descripción perfecta.. Además, banners relacionados con adware commonly contain phishing links o descargar páginas de programas no deseados. Si ve la página falsa de actualización de Windows, probablemente verás otros signos de malware.

Cómo protegerte?

Los consejos para contrarrestar las páginas falsas de actualización de Windows, y particularmente el adware que lo causa, Consta de medidas preventivas y reactivas..

Para evitar ser infectado con adware, la mejor opción es para evitar fuentes de software dudosas. Siempre fueron y siguen siendo una fuente de malware ampliamente utilizada.. Los delincuentes agregan malware al paquete con la aplicación inicial, o incluso difundir uno en lugar del software prometido. Usar software sin licencia es ilegal, y, como se puede ver, puede terminar con una cadena de consecuencias realmente malas.

Utilice una herramienta de seguridad adecuada. El adware puede ser bastante complicado de encontrar y eliminar, especialmente una que se hace pasar por una aplicación legítima. El malware que puede llegar durante su actividad es aún más difícil. Por esta razón, se necesita una solución realmente compleja y de alta calidad. GridinSoft Anti-Malware es lo que puede ayudarte con todos los propósitos. Cuenta con actualizaciones frecuentes de bases de datos que son muy útiles contra el adware., y detección heurística: una solución milagrosa para el software espía y otro malware sigiloso.

<lapso largo = "uno">Actualización falsa de Windows en el navegador Deliver Aurora Stealer</durar>

Por Stephanie Adlam

Escribo sobre cómo hacer que tu navegación por Internet sea cómoda y segura. Vale la pena formar parte del mundo digital moderno y quiero mostrarte cómo hacerlo correctamente.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *