Tener un antivirus instalado, es algo fundamental para evitar problemas de seguridad muy variados y no dar facilidades a los piratas informáticos. Sin embargo, en algunos casos este tipo de programas puede dar problemas y dejar de funcionar. En este artículo, nos hacemos eco de cómo han logrado romper la seguridad de Windows Defender, uno de los más utilizados pro los usuarios de Windows.
Se trata de un troyano de acceso remoto que han descubierto, denominado Cybereye, que se distribuye a través de diferentes nombres. Utiliza una API bot de Telegram para comunicarse, robar datos y recibir comandos. El problema principal es que utiliza una técnica para deshabilitar el antivirus de Windows
Un troyano deshabilita Windows Defender
Este troyano Cybereye tiene la capacidad de deshabilitar Windows Defender mediante la edición de claves de registro y al ejecutar comandos en PowerShell. Esto evita que el programa pueda ejecutar la protección en tiempo real y la protección contra manipulación, por lo que los usuarios van a quedar expuestos.
Se distribuye con diferentes nombres y uno de ellos es TelegramRat. Está diseñado para que piratas informáticos con menos experiencia, puedan usarlo contra sus víctimas. Pueden cargar keyloggers y robar contraseñas, robar la información del portapapeles de Windows y actuar de forma persistente en el sistema.
Más allá de deshabilitar el antivirus de Windows, tiene la capacidad de ocultarse y pasar desapercibido. Por tanto, es un malware que podría estar durante mucho tiempo en el sistema, sin que la víctima se dé cuenta de ello. Realiza diferentes comprobaciones para detectar entornos como una máquina virtual, para funcionar o no.
Pero, ¿cómo llega esta amenaza? Generalmente, se oculta como un proceso legítimo del sistema. Puede simular ser una actualización del navegador Google Chrome, por ejemplo. La víctima cree que se está instalando el navegador, pero realmente es el troyano lo que está colándose en su sistema.
Una vez ha infectado el sistema, es capaz de robar una gran cantidad de datos, como las credenciales del navegador, datos de sesión en aplicaciones de mensajería, robar archivos que haya almacenados en el dispositivo, etc. Todo este contenido, lo comprime, cifra y envía a un bot de Telegram controlado por el atacante.

Cómo protegerte de esta amenaza
Como ves, se trata de un software malicioso bastante peligroso. Para protegerte, lo principal es mantener el sentido común. Puede infectarte si instalas una actualización falsa de Chrome, descargas algún archivo peligroso o abres un enlace que no debes. Por tanto, evitar cometer errores de este tipo, va a ser clave. Instala siempre los programas desde fuentes oficiales, no caigas en la trampa del Phishing y revisa todo lo que actualizas.
Además, es importante que tengas todo muy bien actualizado. En muchos casos, van a aprovecharse de aplicaciones obsoletas que puedas tener o del propio sistema operativo sin actualizar. Asegúrate de tener las últimas versiones y así estarás protegido ante muchas amenazas de seguridad.
Por otra parte, tener un buen antivirus, es otro factor a destacar. Windows Defender es una opción, pero también otros como Avast o Bitdefender. Eso sí, asegúrate de que estén actualizados y bien configurados para poder detectar software malicioso y reducir riesgos.
En definitiva, cuidado con esta amenaza que es capaz de deshabilitar Windows Defender si te descuidas. Te recomendamos instalar solo aplicaciones oficiales, revisar de vez en cuando que tienes todo actualizado y configurar correctamente tu sistema.