Malwarebytes acaba de destapar una campaña de phishing bastante elaborada que se hace pasar por una actualización oficial de Windows 11 24H2. El sitio web fraudulento imita las páginas de soporte de Microsoft con una precisión que da miedo, y ofrece una supuesta actualización acumulativa que en realidad instala un malware capaz de robar credenciales del navegador, tokens de Discord e información de pago.
La falsa actualización Windows 11 pasó desapercibida para todos los antivirus analizados, ninguno la marcó como amenaza. El archivo de instalación utiliza herramientas legítimas como WiX Toolset y Electron para camuflar la carga maliciosa, y eso hace que los motores de seguridad lo traten como software limpio. Si alguien sin conocimientos técnicos cae en esta página, no tiene manera real de saber que está descargando un troyano disfrazado de parche oficial.
Así funciona el ataque de la falsa actualización Windows 11
Todo empieza con un dominio trampa: «microsoft-update[.]support». Es un typosquatting pensado para que quien busque soporte técnico de Microsoft acabe en la página equivocada sin darse cuenta. La web replica los colores, la tipografía y la estructura de las páginas oficiales, incluye una referencia falsa a la base de conocimientos (KB5034765) y un botón bien visible de «Descargar la actualización».
Al pulsarlo, el usuario se baja un archivo MSI de 83 MB llamado «WindowsUpdate 1.0.0.msi». El nombre y el peso parecen los de una actualización real. Pero hay algo que delata el fraude: esa KB5034765 es una actualización que Microsoft publicó en febrero de 2024 para Windows 11 23H2 y 22H2. No tiene nada que ver con la versión 24H2 que promete el sitio.
El instalador no presentaba ninguna amenaza detectable en decenas de motores de seguridad al momento del análisis…
El truco técnico está en las capas, el instalador viene empaquetado con WiX Toolset, un framework de código abierto que se usa mucho en entornos profesionales. Dentro lleva una aplicación Electron que actúa como navegador Chromium y ejecuta la carga maliciosa. Cada pieza por separado parece inofensiva, y por eso los antivirus no saltan. Es un enfoque inteligente, y eso es lo que lo hace tan peligroso.
Qué datos roba y cómo sobrevive a los reinicios
Una vez instalado, el malware Windows 11 24H2 arranca un script de Visual Basic que activa la app Electron. Esta lanza un proceso Python oculto que instala paquetes de cifrado, inspección del sistema y acceso a la API de Windows. A partir de ahí empieza la extracción: credenciales guardadas en el navegador, tokens de sesión de Discord y datos vinculados a métodos de pago almacenados en el equipo.
Aquí viene lo más astuto, para no desaparecer tras un reinicio, el malware crea una entrada en el registro disfrazada como componente de seguridad de Windows. También añade un acceso directo al inicio que simula ser el lanzador de Spotify. Los dos pasan completamente desapercibidos porque parecen procesos normales del sistema. Si no sabes que están ahí, no los vas a encontrar.
Cómo evitar caer en este tipo de engaños
Malwarebytes detectó esta campaña dirigida a usuarios de Windows en Francia, pero el método es tan sencillo de replicar que podría aparecer en cualquier país o idioma mañana mismo. Instala actualizaciones solo desde Windows Update o desde dominios oficiales de Microsoft. Si una web te ofrece descargar una actualización como archivo MSI independiente, cierra la pestaña sin pensarlo dos veces.
Microsoft no distribuye actualizaciones acumulativas a través de páginas de soporte con botones de descarga, nunca lo ha hecho, por lo tanto, si ves algo así, es un fraude. Mientras este tipo de campañas de phishing sigan activas, lo más sensato es verificar siempre el dominio antes de hacer clic y no fiarte de ninguna página que te pida descargar un archivo MSI o EXE para «actualizar» tu sistema operativo. Toda actualización legítima llega siempre por el canal oficial de Windows Update.