Así usan el antivirus de Windows para secuestrar tu ordenador

Los piratas informáticos buscan constantemente nuevas formas de poder atacar e infectar a los usuarios de PC. Y, para ello, no hay nada mejor de aprovecharse de los programas o servicios que vienen instalados de serie en el sistema operativo, como puede ser Windows Defender, el antivirus más usado hoy en día. De esta forma, un grupo de piratas informáticos ha encontrado una nueva forma de evadir la seguridad de este programa y hacer que LockBit 3.0, uno de los ransomware más peligrosos, secuestre todos los datos del ordenador y sea imposible recuperarlos.

Los ransomware son uno de los tipos de malware más peligrosos y complicados de detectar. Cuando este malware llega al ordenador, sea por el medio que sea, lo primero que hace es instalarse en el sistema operativo y buscar la forma de que el antivirus no lo detecte cuando se ejecute. Esto lo puede lograr de varias formas, pero una de las más interesantes, recientemente descubierta, es aprovecharse del uso de Cobalt Strike.

Cobalt Strike es un conjunto de herramientas usadas en el hacking ético para realizar análisis sigilosos de redes, así como para moverse lateralmente dentro de una red, encontrar datos, cifrarlos y robarlos. Esta herramienta es legítima, y los antivirus la reconocen, detectan y bloquean sin problema. Sin embargo, los piratas tras este ransomware han encontrado una debilidad en el proceso MpCmdRun.exe de Windows Defender. Gracias a ella, es posible descargar e inyectar librerías DLL maliciosas que inyectan balizas de Cobalt Strike en el sistema.

Windows Defender - Antivirus en Windows 11

El proceso MpCmdRun.exe es el responsable de que se ejecuten los análisis programados en el sistema. Y para ello depende de una librería llamada «mpclient.dll«. Los piratas informáticos han creado una librería falsa, con el mismo nombre, que, al colocarla en la ruta de la original, consigue hacer que Windows Defender la ejecute. Y, al hacerlo, permite al ransomware permanecer oculto en el sistema.

Cómo protegernos

El malware indetectable es cada vez más común, especialmente en los ataques a empresas. Los piratas informáticos utilizan técnicas que parecen ciencia ficción para evadir todas estas medidas y poder llevar a cabo los ataques informáticos más complejos.

Lo mejor para protegernos de este tipo de amenaza es usar el sentido común. Es decir, debemos evitar descargar archivos de Internet de páginas web peligrosas, o todo aquello que nos llegue a través del correo electrónico. Como hemos visto, en este caso concreto atacan una debilidad en Windows Defender, por lo que, para protegernos, podemos sustituir este antivirus por otro, como Kaspersky o McAfee.

El ransomware ataca lo más importante de nuestro PC: los archivos. Por ello, una forma indirecta de protegernos es hacer copias de seguridad de ellos. De esta forma, en el peor de los casos, si nos infecta, y roba nuestros datos, tendremos una vía de escape. Bastará con formatear, para borrar todo rastro del malware, y restaurar la copia de seguridad. Eso sí, debemos asegurarnos de que está limpia si queremos evitar terminar infectados de nuevo.