Cuidado con los instaladores MSI de Windows: piratas informáticos los usan para distribuir malware

Escrito por Rubén Velasco

Los instaladores MSI (Microsoft Installer) son un paquete de instaladores que contienen toda la información necesaria para automatizar la instalación del programa y reducir al mínimo la interacción del usuario con el proceso. Este tipo de instaladores es muy cómodo y rápido, tanto para usuarios estándar como para administradores de sistemas, ya que simplifica mucho la instalación y el mantenimiento de todo tipo de software. Sin embargo, los piratas informáticos han empezado a aprovecharse de este tipo de paquetes, encontrando la forma de ocultar y distribuir malware a través de ellos.

Tal como informan los investigadores de TrendMicro, recientemente se han empezado a ver en la red una serie de ficheros MSI maliciosos, distribuidos generalmente a través del correo electrónico, en cuyo interior se esconde un peligroso código JScript/VBScript utilizado para infectar los ordenadores de las víctimas.

La firma de seguridad advierte de que el ataque informático se inicia con el correo electrónico, en el cual se encuentran una serie de enlaces desde los que la víctima descargará, a través de una serie de engaños, el fichero MSI malicioso. Este fichero ha sido modificado por los piratas informáticos para que parezca un instalador de Adobe Acrobat Reader DC de manera que, además de no levantar sospechas por parte del usuario, también será capaz de evitar las medidas de seguridad que tengamos instaladas en el equipo.

MSI malware Adobe DC

Los expertos de seguridad creen que los piratas informáticos deben estar probando otras aplicaciones para ocultar esta amenaza dentro del instalador MSI, por lo que sería fácil encontrarnos con instaladores que se hicieran pasar por otras aplicaciones, no solo por Adobe Acrobat Reader.

El código JavaScript oculto en el instalador MSI se encarga de descargar otros ficheros de configuración desde servidores AWS, entre los que se encuentra un peligroso troyano bancario utilizado para robar los datos personales y bancarios de las víctimas.

MSI Malware ejecución 1

Cómo protegernos de estos archivos MSI peligrosos

Como explican los investigadores de seguridad, los piratas informáticos están haciendo uso del correo electrónico para distribuir este tipo de instaladores maliciosos y comenzar así con los ataques informáticos. Por ello, la primera barrera desde la que debemos protegernos es desde nuestra bandeja de entrada.

Según TrendMicro, el instalador MSI no viene adjunto para no levantar sospechas, sino que se ofrece a las víctimas a través de un enlace incluido en el texto de dicho email. Por ello, lo primero que debemos hacer para evitar caer en las garras de estos piratas es usar siempre el sentido común y evitar acceder a los enlaces que nos vienen en los mensajes de correo, sobre todo si no estamos seguros al 100% de quién lo ha enviado.

Si por algún motivo hemos descargado el instalador MSI, mientras no lo ejecutemos en nuestro ordenador no deberíamos estar en peligro. Eso sí, si lo hemos ejecutado una sola vez, seguramente los piratas informáticos ya hayan logrado infectar nuestro PC con su malware, y en ese caso será necesario que analicemos nuestro PC con un antivirus actualizado cuanto antes para poder detectar y eliminar esta amenaza.

Fuente > trendmicro