Cuidado con los parches falsos de Spectre y Meltdown que introducen malware

Escrito por Javier Jiménez

En los últimos días hemos visto multitud de noticias relacionadas con Meltdown y Spectre. Han generado muchas dudas a los fabricantes y usuarios. Y parece que estos problemas no van a quedar ahí y surgen nuevos inconvenientes para ambas partes. De eso precisamente vamos a tratar en este artículo. Están apareciendo parches falsos para Meltdown y Spectre que introducen malware en los equipos de los usuarios.

Parches falsos de Spectre y Meltdown

Los usuarios, por parte de los fabricantes, se les han instado a actualizar sus equipos. Hemos visto parches que arreglan el problema en diferentes sistemas operativos y navegadores. Es cierto que algunos, quizás por la celeridad con los que han salido, han dado más de un quebradero de cabeza.

Incluso hay algunos parches que han creado más problemas de los que solucionaron. Uno en particular está dirigido a usuarios alemanes que realmente introducen malware. De hecho, las autoridades alemanas advirtieron recientemente sobre los correos electrónicos de phishing que intentan aprovechar.

Pero el caso alemán no tiene porqué ser aislado y podría perfectamente afectar también a España o cualquier otro país. Los ciberdelincuentes pueden aprovechar la incertidumbre que hay con todo lo relacionado con estos fallos.

Además, el mismo dominio fraudulento tiene un enlace a un archivo ZIP (Intel-AMD-SecurityPatch-11-01bsi.zip) que contiene el llamado parche (Intel-AMD-SecurityPatch-10-1-v1.exe), que realmente es una pieza de malware.

Smoke Loader

Al ejecutar estos parches falsos, los usuarios se infectarán con Smoke Loader, un malware que puede recuperar cargas adicionales. El tráfico posterior a la infección muestra el archivo malicioso que intenta conectarse a varios dominios y enviar información cifrada.

El campo Nombre alternativo del sujeto dentro del certificado SSL abusado muestra otras propiedades asociadas con el dominio .bid, incluida una que es una plantilla alemana para una actualización falsa de Adobe Flash Player.

Los ciberdelincuentes, como hemos mencionado, están alertas y aprovechan eventos actuales para explotarlos rápidamente, generalmente a través de campañas de phishing. Este en particular es interesante porque a las personas se les dijo que aplicaran un parche, que es exactamente lo que los ladrones están ofreciendo de forma oculta.

Estar alerta

En estos casos siempre es conveniente estar alerta. Hay que utilizar el sentido común y no instalar nada que no proceda de sitios oficiales. Existe la posibilidad de que esas solicitudes sean falsas y tengan la intención de estafar al usuario o infectar su equipo. Existen muy pocos casos legítimos en los que los proveedores se comunican con los usuarios directamente para aplicar las actualizaciones. Si ese es el caso, siempre es bueno verificar esta información a través de otros recursos en línea.

Hay que tener en cuenta que los sitios que usan HTTPS no son necesariamente confiables. La presencia de un certificado simplemente implica que los datos que transitan entre un ordenador y el sitio son seguros, pero eso no tiene nada que ver con las intenciones o el contenido ofrecido, lo que podría ser una estafa total.

Desde Malwarebytes aseguran que se pusieron en contacto con Comodo y CloudFlare para resolver el problema. CloudFlare tuvo una respuesta inmediata y los usuarios que utilicen este antivirus están protegidos, según informan desde la compañía.

Fuente > Malwarebytes