La astuta variante de malware Winos 4.0 aprovecha instaladores engañosos de NSIS para ejecutar ataques multietapa. Este malware incluso manipula la configuración de seguridad de Windows Defender, creando excepciones que le permiten operar. Las graves consecuencias de estas acciones incluyen el robo de datos, la manipulación del registro y la vigilancia no autorizada de las actividades de su PC.
Comprender los peligros del malware Winos 4.0
El malware Winos 4.0 representa una familia avanzada de software malicioso, cuyos orígenes se remontan a Gh0st RAT. La designación «4.0» no indica una versión específica, sino que refleja su clasificación dentro de una categoría más amplia que existe desde hace más de un año. Cabe destacar que el 22 de mayo de 2025, Rapid7 detectó una variante de Winos 4.0 que utilizaba instaladores de VPN y navegadores para distribuir su carga útil.
El malware inicia una reacción en cadena al implementar una aplicación NSIS falsa, que actúa como un archivo ejecutable corrupto. Los nombres de los instaladores suelen ser inofensivos, como QQBrowser_Setup_x64.exe o Lets.15.0.exe, y se aprovechan de la confianza del usuario. Estas astutas tácticas de engaño hacen que Winos 4.0 sea especialmente peligroso. Tras la instalación, instala sigilosamente componentes adicionales, como un lanzador de VBScript, un cargador de PowerShell, una DLL maliciosa y archivos de configuración. Rapid7 se refiere a esta carga útil multietapa como el cargador Catena.
Una característica importante de Winos 4.0 es su capacidad de mantener la persistencia mediante comandos silenciosos de PowerShell que introducen exclusiones para proteger su carga útil. Sorprendentemente, este malware puede permanecer inactivo durante semanas antes de activarse, capturando contraseñas, información de criptomonedas y manipulando el registro mientras monitorea capturas de pantalla, transmisiones de cámaras web y audio del micrófono. Al operar completamente en memoria, de forma similar a Remcos RAT, este malware evita ser detectado al no dejar rastro en el disco.
Cómo verificar las firmas digitales de los instaladores
Para proteger su PC, es fundamental verificar cuidadosamente las firmas digitales de las aplicaciones antes de instalarlas. Haga clic derecho en la aplicación, vaya a Propiedades -> Firmas digitales y, a continuación, haga clic en Detalles -> Ver certificado para verificar la autenticidad del instalador.
La imagen de arriba ilustra la comprobación de la firma digital de QQBrowser, que, a pesar de la disponibilidad de variantes maliciosas con instaladores NSIS falsos, lleva una firma válida de Tencent Technology, el desarrollador legítimo de la aplicación.
Medidas de seguridad esenciales de Windows
A pesar de la astuta capacidad de Winos 4.0 para engañar a Windows Defender, hay muchas medidas que puedes adoptar dentro de la aplicación de Seguridad de Windows para reforzar tus defensas.
Para evitar la ejecución de instaladores de NSIS, inicie PowerShell en modo administrador y ejecute el siguiente comando, que reduce efectivamente el área de superficie de ataque (ASR) sin implementar una prohibición general.
Set-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
A continuación, acceda a la aplicación Seguridad de Windows. Vaya a Protección contra virus y amenazas -> Configuración de Protección contra virus y amenazas -> Administrar configuración, asegurándose de que la Protección en tiempo real esté activada.
Además, en Protección contra virus y amenazas, desplácese hasta Administrar protección contra ransomware. Si el Acceso controlado a carpetas aparece deshabilitado, vuelva a habilitarlo. También puede incluir aplicaciones de confianza en la lista blanca mediante la opción Permitir una aplicación mediante el Acceso controlado a carpetas.
Implementar estas protecciones fundamentales de seguridad de Windows es una primera línea de defensa eficaz. Los usuarios avanzados también pueden considerar reforzar la configuración de su firewall para bloquear específicamente el malware de WinOS 4.0.
Cómo evitar que Winos 4.0 realice exclusiones en Windows Defender
Una de las tácticas insidiosas empleadas por WinOS 4.0 es la creación de exclusiones dentro de los protocolos de análisis de Windows Defender. Puedes tomar medidas proactivas para impedir esta amenaza.
Abra PowerShell en modo administrador y use el siguiente comando para agregar políticas de ejecución que restrinjan scripts dañinos. Pulse A para confirmar.
Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy Restricted
Para restringir exclusiones no autorizadas en todas las unidades, ejecute el siguiente comando en PowerShell:
Remove-MpPreference -ExclusionPath C:\, D:\, E:\, F:\, G:\, H:\, I:\, J:\, K:\, L:\, M:\, N:\, O:\, P:\, Q:\, R:\, S:\, T:\, U:\, V:\, W:\, X:\, Y:\, Z:
Detección de entradas falsas del NSIS con ejecuciones automáticas
Usar una herramienta de Microsoft llamada Autoruns puede ayudar a rastrear programas de inicio no deseados, incluyendo entradas NSIS sospechosas. Este método es una de las maneras más efectivas de identificar WinOS 4.0 y evitar su ejecución.
Comience descargando el archivo ZIP de Autoruns desde la página web de Sysinternals. No es necesario instalarlo; simplemente descomprima el archivo y haga doble clic en Autoruns64 (para sistemas Windows de 64 bits).Esto le ofrece una visión general de los inicios de sesión activos, las tareas programadas y los procesos. Busque las entradas marcadas en rojo y supervise atentamente las entradas relacionadas con NSIS que se resaltarán.
Los instaladores legítimos de aplicaciones de Windows suelen pasar desapercibidos. Una vez que navegan por SmartScreen (que debería permanecer habilitado) y superan las comprobaciones de seguridad de Windows, los usuarios suelen asumir que estas aplicaciones son seguras; esta suposición proporciona una puerta de entrada para el malware de WinOS 4.0. Garantizar una protección robusta para su ventana de PowerShell restringiendo la ejecución de scripts puede mejorar enormemente su defensa. Utilice servicios como VirusTotal para analizar los paquetes de instalación en busca de posibles amenazas de malware.
Preguntas frecuentes
1.¿Qué es el malware Winos 4.0 y cómo infecta mi sistema?
Winos 4.0 es una forma avanzada de malware derivada de Gh0st RAT, que suele infectar sistemas mediante instaladores engañosos de NSIS camuflados en aplicaciones legítimas. Una vez instalado, puede ejecutar un ataque multietapa que permite el robo y la vigilancia de datos.
2.¿Cómo puedo proteger mi computadora contra el malware Winos 4.0?
Proteja su computadora verificando las firmas digitales de todos los instaladores, habilitando las protecciones de seguridad de Windows, evitando exclusiones no autorizadas en Windows Defender y utilizando herramientas como Autoruns para detectar entradas sospechosas.
3.¿Cuáles son las señales de que mi computadora podría estar infectada con malware?
Los signos de infección pueden incluir ralentizaciones inusuales del sistema, programas no reconocidos al iniciar, comportamiento inesperado de las aplicaciones instaladas o bloqueos frecuentes del sistema. Si sospecha que está infectado, es fundamental analizar su sistema inmediatamente con un software antivirus confiable.
Artículos relacionados:
Cómo usar Chrome para escuchar artículos
21:30
Creación de un diagnóstico USB para PC portátil: Mis herramientas de código abierto favoritas
19:06
Mensajes en la aplicación de Spotify: ¿una característica memorable pero irrelevante?
15:33
Deja una respuesta