Storm-0249 distribuye troyanos desde sitios falsos de descarga de Windows 11

Microsoft Threat Intelligence ha detectado una nueva y peligrosa táctica del grupo Storm-0249: el uso de sitios web falsos que simulan ser páginas legítimas de descarga de Windows 11 Pro para distribuir el troyano Latrodectus.

Este loader de malware está diseñado para facilitar ataques en múltiples etapas, descargando e instalando cargas maliciosas adicionales en dispositivos comprometidos. Y lo preocupante es que esta campaña ya está activa.

🔍 ¿Cómo funciona el ataque?

Desde marzo de 2025, Storm-0249 ha creado páginas falsas de descarga de Windows 11 Pro, casi idénticas a las legítimas. Cuando el usuario hace clic en “Descargar ahora”, se inicia la descarga de un archivo JavaScript alojado en Google Firebase.

Ese JavaScript descarga e instala un archivo .msi infectado con BruteRatel, que a su vez despliega el troyano Latrodectus.

Microsoft también observó que Facebook habría sido usado para atraer tráfico a estas páginas fraudulentas, ya que en muchos casos se detectaron URLs referidas desde la plataforma.

⚠️ ¿Qué hace Latrodectus y por qué es peligroso?

Latrodectus no es un malware nuevo, pero ha evolucionado mucho. A lo largo de 2024, Microsoft analizó varias versiones del troyano (1.3, 1.4, 1.7 y 1.8), todas ellas incorporando técnicas para evadir análisis y mejorar su persistencia.

Entre sus capacidades más destacadas están:

  • Verificaciones antianálisis (número mínimo de procesos, revisión de adaptadores de red)
  • División de datos POST entre la cabecera Cookie y el cuerpo de la solicitud
  • Recolección de información como el nombre de dominio NetBIOS y otros identificadores
  • Persistencia mediante tareas programadas
  • Desde la versión 1.9 (febrero 2025), añade el comando 23, que permite ejecutar comandos de Windows mediante cmd.exe /c

🎣 ¿Cómo llega a los usuarios?

Esta táctica de usar sitios falsos de descarga representa una nueva dirección para Storm-0249. Durante todo 2024 y principios de 2025, su método más común era el phishing.

Los correos incluían URLs (o PDFs con URLs) que redirigían a páginas de aterrizaje que imitaban servicios como Microsoft Azure, desde donde el usuario descargaba el mismo tipo de archivo JavaScript alojado en Firebase.

Además, el grupo también ha utilizado:

  • Correos falsos por supuestas infracciones de derechos de autor, enviados a través de formularios de contacto en sitios web
  • Anuncios en motores de búsqueda manipulados como vector de acceso inicial

Tweet original [EN]

Tagged with
, , , ,
Filed under
Ciberseguridad
Previous Next
For this post, the comments have been closed.