Análisis de las recientes estafas de MaaS en Windows: información esencial que debes conocer

Análisis de las recientes estafas de MaaS en Windows: información esencial que debes conocer

A medida que las estafas de phishing siguen evolucionando, la aparición del malware como servicio (MaaS), dirigido específicamente a usuarios de Windows, pone de relieve esta tendencia. Si bien Microsoft ha tomado medidas para responder a estas amenazas, la estafa subyacente sigue activa. A continuación, analizamos con más detalle cómo funciona esta sofisticada estafa y qué medidas puede tomar para protegerse.

Entendiendo la estafa de phishing de malware como servicio

Las estafas de phishing suelen utilizar correos electrónicos, mensajes de texto, ventanas emergentes o sitios web engañosos para engañar a los usuarios. Una estrategia reciente, identificada por expertos de Microsoft Defender, incorpora aplicaciones de confianza para inducir a los usuarios a instalar malware, lo que dificulta la detección.

En la mayoría de los casos, Windows está equipado para bloquear este tipo de malware debido a la ausencia de un certificado de seguridad válido. En este caso, un certificado de Validación Extendida (EV) desempeña un papel crucial, garantizando a los usuarios la legitimidad de una marca y la protección contra intentos de phishing. Sin embargo, los estafadores han ideado una ingeniosa solución alternativa.

Establecieron una fachada de legitimidad creando TrustConnect Software PTY LTD, una empresa fantasma. Mediante inteligencia artificial, crearon una identidad empresarial integral, que incluía un sitio web, reseñas positivas y métricas de clientes. Al solicitar con éxito un certificado EV, lograron que su malware fuera confiable tanto para los usuarios como para los sistemas.

Esto significa que los estafadores adquirieron legalmente un certificado EV válido en lugar de recurrir al robo o la falsificación. En consecuencia, Windows reconoce al instante como legítimo cualquier malware que distribuyan.

Para verificar el certificado de una aplicación en Windows, simplemente haga clic derecho en el archivo ejecutable y navegue a Propiedades → Firmas digitales → Detalles → Ver certificado.

Ejemplo de un certificado EV válido en Windows, utilizando Brave como ejemplo.

La situación se agravó aún más cuando TrustConnect se convirtió en un negocio legítimo, atendiendo a emprendedores deshonestos. Adoptaron un modelo de negocio MaaS, ofreciendo suscripciones desde tan solo $300 al mes en criptomonedas para que otros pudieran ejecutar ataques de phishing.

Los usuarios reciben correos electrónicos con archivos PDF, invitaciones a reuniones y otro contenido aparentemente inofensivo que oculta enlaces maliciosos. Estos enlaces suelen incitar a los usuarios a actualizar aplicaciones como Adobe Acrobat o Zoom. Una vez engañados para que hagan clic en «Actualizar», instalan malware sin saberlo.

Archivos ejecutables comunes como adobereader.exe, trustconnectagent.exe, msteams.exe, zoomworkspace.clientsetup.exe, y invite.exese ejecutan sin problemas y sin levantar sospechas, ya que contienen firmas EV válidas. Esto provoca que el malware cree carpetas dentro de Archivos de Programa y se ejecute al inicio, como cualquier aplicación normal, lo que dificulta su detección incluso para los usuarios más expertos en tecnología.

Revocación del certificado EV: una solución limitada

Se podría suponer que revocar el certificado EV desmantelaría eficazmente la operación de phishing de TrustConnect, pero la realidad es más compleja. Si bien esta medida impide que cualquier nuevo malware adquiera un certificado EV, no invalida retroactivamente los certificados emitidos previamente.

Como resultado, Windows sigue considerando legítimo cualquier malware previamente certificado. Por consiguiente, los usuarios deben tomar medidas proactivas para protegerse. Si bien los clientes empresariales son objetivos principales, los usuarios individuales no deben considerarse inmunes.

Además, los profesionales de seguridad han identificado que los perpetradores detrás de TrustConnect ya están desarrollando otra variante de malware llamada DocConnect, que emplea tácticas similares.

Formato: un enfoque recomendado

Las investigaciones indican que los intentos de eliminar el malware descubren capas aún más avanzadas de lo que se suponía inicialmente. El malware de TrustConnect instala varios marcos de Monitoreo y Gestión Remota (RMM) para mantener el acceso continuo a los sistemas comprometidos. Por lo tanto, eliminar un solo marco es solo una fracción de lo necesario.

Para los afectados, formatear el ordenador es la solución más eficaz para eliminar completamente el malware. Es fundamental hacer una copia de seguridad de los archivos primero; una vez reinstalado Windows, realice un análisis antivirus exhaustivo de las copias de seguridad antes de restaurarlas. Afortunadamente, como el malware se hace pasar por una aplicación de Windows, es menos probable que esté vinculado a sus documentos o fotos.

Elegir opciones de formato para eliminar malware como infección de servicio.

Para los entornos empresariales, es recomendable que los administradores de TI prohíban a los usuarios ejecutar actualizaciones de software de forma independiente.

Precaución con las actualizaciones de aplicaciones desde enlaces

TrustConnect no es el único que utiliza actualizaciones engañosas de aplicaciones para instalar malware. Su ventaja única era un certificado válido, lo que dificultaba que las soluciones de seguridad detectaran sus actividades.

Si hace clic en un enlace de una fuente aparentemente confiable que solicita una actualización de la aplicación, deténgalo inmediatamente. No continúe con la actualización.

En su lugar, abra la aplicación de forma independiente y busque actualizaciones a través de su configuración o del menú de ayuda. Para las aplicaciones descargadas originalmente de Microsoft Store, las actualizaciones también deben obtenerse directamente desde la tienda.

Si no hay actualizaciones disponibles, puede estar seguro de que el enlace encontrado es malicioso. Dado que los procesos pueden cambiar con frecuencia, es recomendable instalar las nuevas aplicaciones en un entorno de pruebas para evaluar su seguridad antes de integrarlas por completo.

Es poco probable que la prevalencia de las estafas de phishing disminuya. Una de las medidas de protección más eficaces es cuestionar los enlaces inesperados antes de interactuar con ellos. Recientemente, recibí un correo electrónico que parecía ofrecer una encuesta sobre las tarifas de seguros de coche. A pesar de la autenticidad del remitente, opté por acceder directamente al sitio web de mi aseguradora en lugar de hacer clic en el enlace. Resultó ser un intento de phishing.

Si no está seguro de la legitimidad de un enlace, no haga clic. Para cualquier comunicación relacionada con el trabajo, contacte al supuesto remitente por separado para verificarlo. Priorice la seguridad sobre la curiosidad y evite responder mensajes, ya que esto solo conecta con el estafador y aumenta su riesgo.

Con la aparición diaria de nuevos esquemas de phishing, que incluso se infiltran en plataformas como LinkedIn, es fundamental mantenerse informado y alerta. Si bien el malware como servicio presenta un nuevo nivel de complejidad, la concienciación y la precaución pueden ayudar a los usuarios a eludir estas estafas.

Fuente e imágenes

Artículos relacionados:

Nothing Phone (4a) Pro establece un nuevo estándar de innovación frente a la serie Samsung Galaxy S26
El procesador M5 Max de 18 núcleos alcanza un aumento del 10 % en el rendimiento con respecto al M4 Max, según una reciente filtración de benchmark, superando al M3 Ultra de 32 núcleos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *