Por Redacción - 12 Marzo 2025
Microsoft ha revelado una campaña de ciberataques que ha afectado a más de un millón de ordenadores con sistema operativo Windows. Detectado a finales del año pasado, el ataque se basó en la distribución de anuncios maliciosos en sitios de streaming ilegales, a través de los cuales los ciberdelincuentes lograban que los usuarios descargaran software diseñado para recopilar información confidencial. Esta amenaza ha afectado tanto a usuarios particulares como a empresas de diversos sectores, exponiendo la creciente sofisticación de los ataques basados en publicidad engañosa.
Según informa Bleeping Computer, la infección comenzaba cuando los usuarios accedían a sitios web que ofrecían contenido pirateado. En estas páginas, los atacantes insertaron anuncios fraudulentos que redirigían a las víctimas a repositorios maliciosos alojados en plataformas legítimas como GitHub, además de otras dos infraestructuras controladas por los delincuentes. Una vez en estos sitios, los usuarios descargaban sin saberlo un archivo que iniciaba la recopilación de datos del sistema, incluyendo información como la versión del sistema operativo, la cantidad de memoria instalada y la configuración gráfica del dispositivo.
Microsoft ha identificado que, aunque GitHub fue el principal canal de distribución del malware, los atacantes también utilizaron otros servicios como Discord y Dropbox. Estas plataformas, comúnmente empleadas para la comunicación y el almacenamiento en la nube, fueron explotadas por los ciberdelincuentes para alojar y propagar los archivos infectados. Esta estrategia permitió evadir algunos sistemas de seguridad, ya que los archivos maliciosos parecían legítimos al estar alojados en servicios confiables.
El proceso de infección ocurría en varias etapas para asegurar la ejecución y persistencia del malware en el sistema. En la fase inicial, la víctima era redirigida a un repositorio infectado donde se descargaba el primer archivo malicioso. Este archivo servía como un agente de recopilación de información preliminar, permitiendo a los atacantes evaluar las características del sistema infectado. Posteriormente, el malware activaba una segunda carga útil que extraía datos más detallados y los enviaba a una dirección IP bajo el control de los delincuentes. La información era codificada en Base64 y transmitida a través de una conexión HTTP, facilitando su almacenamiento y posible reventa en la dark web.
Entre los datos robados se encuentran detalles clave del hardware del dispositivo, como la cantidad de memoria RAM instalada, las especificaciones de la tarjeta gráfica, la resolución de pantalla y la estructura de directorios del sistema. Esta información podría ser utilizada para ataques dirigidos o para desarrollar nuevas amenazas personalizadas contra los usuarios afectados.
Microsoft continúa investigando el alcance de la campaña y recomienda a los usuarios evitar acceder a sitios web de dudosa procedencia, mantener sus sistemas operativos y programas de seguridad actualizados y prestar especial atención a los anuncios en línea. La compañía advierte que este tipo de amenazas pueden seguir evolucionando y utilizar nuevos métodos de distribución para comprometer la seguridad de los dispositivos.
