Tecnologías en palabras simples

Alerta de Malware Winos 4.0: Protege tu PC de Instaladores NSIS Falsos

Imagen destacada: Previene el malware Winos 4.0 en Windows

La astuta variante de malware Winos 4.0 está utilizando instaladores NSIS engañosos para desatar ataques de múltiples etapas. Incluso puede modificar la seguridad basada en Windows Defender para crear una excepción, dándole espacio para operar. Los resultados finales son robo de datos, manipulación del registro y vigilancia del PC. Consulta nuestras soluciones verificadas para detener este persistente malware en seco.

Por qué el Malware Winos 4.0 es Peligroso

Winos 4.0 es una familia de malware sofisticada, derivada originalmente de Gh0st RAT. El “4.0” es solo un nombre, y no una versión específica del malware. Ha estado presente durante más de un año. El 22 de mayo de 2025, Rapid 7 anunció una variante de Winos 4.0 que utiliza instaladores de VPN y navegador para inyectar la carga útil.

El malware se libera como una reacción en cadena, comenzando con una aplicación NSIS falsa, que es un archivo EXE corrupto. Los nombres de los instaladores son engañosos, como QQBrowser_Setup_x64.exe o Lets.15.0.exe. Lo que hace que este malware sea peligroso son estas tácticas de engaño expertas que muchos usuarios no dudarán.

Mientras instalas la aplicación deseada, deja archivos adicionales como un lanzador VBScript, un cargador de PowerShell, una DLL maliciosa y archivos de configuración. Rapid7 ha dado un nombre a la carga útil de múltiples etapas: Catena loader. Para la persistencia, un comando de PowerShell silencioso agrega exclusiones para proteger la carga útil. Notablemente, el malware Winos 4.0 puede permanecer inactivo durante semanas, activándose mucho después.

En última instancia, el malware Winos 4.0 captura contraseñas y detalles de criptomonedas, realiza cambios en el registro y monitorea capturas de pantalla, webcam y micrófono. Operando únicamente en memoria, como vimos con Remcos RAT, no deja rastro en tu disco, evadiendo la detección por antivirus.

Verifica las Firmas Digitales de Todos los Instaladores

Comprobar las firmas digitales de cualquier aplicación que planeas instalar mantiene tu PC seguro. Para esto, haz clic derecho en la aplicación, ve a Propiedades -> Firmas Digitales. Haz clic en Detalles -> Ver Certificado para verificar la autenticidad del instalador.

Verificando la firma digital del archivo del instalador QQBrowser.

Aquí, estamos verificando la firma digital de QQBrowser, cuyas variantes de malware con instaladores NSIS falsos están disponibles. Este, sin embargo, tiene una firma válida genuina de Tencent Technology, la empresa detrás de QQBrowser.

Relacionado: consulta cómo verificar las firmas digitales en el software de Linux.

Habilita las Protecciones de la Aplicación de Seguridad de Windows

Mientras el malware Winos 4.0 engaña a Windows Defender, hay ciertos pasos de seguridad que puedes tomar dentro de la aplicación de Seguridad de Windows.

Puedes prevenir que los instaladores NSIS se ejecuten. Para esto, abre PowerShell en modo administrador y ejecuta el siguiente comando para reducir el Área de Superficie de Ataque (ASR). Este es un excelente comando que no impone una prohibición general, sino que solo elimina los instaladores maliciosos.

Set-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled

Usando PowerShell para reducir el

A continuación, abre la aplicación de Seguridad de Windows. Ve a Protección contra Virus y Amenazas -> Configuración de Protección contra Virus y Amenazas -> Administrar Configuración. Asegúrate de que Protección en Tiempo Real esté activada.

Además, bajo Protección contra Virus y Amenazas, desplázate hacia abajo para seleccionar Administrar Protección contra Ransomware. Si Acceso Controlado a Carpetas está desactivado, vuelve a activarlo. También puedes hacer clic en Permitir una Aplicación a Través del Acceso Controlado a Carpetas para incluir aplicaciones de confianza en la lista blanca.

Asegurando que el

Realizar estas mínimas protecciones de Seguridad de Windows es suficiente. Los usuarios avanzados de Windows también pueden configurar el firewall para deshabilitar el malware Winos 4.0.

Previene que el Malware Winos 4.0 Agregue Exclusiones a Windows Defender

Una forma astuta en que el malware Winos 4.0 se desarrolla en el sistema es agregando una exclusión de los escaneos de Windows Defender. Puedes prevenirlo de antemano.

Abre PowerShell en modo administrador. Usa el siguiente comando para agregar la política de ejecución para scripts dañinos. Haz clic en A para confirmar.

Set-ExecutionPolicy-Scope CurrentUser -ExecutionPolicy Restricted

Política de ejecución restringida para prevenir que aplicaciones aleatorias realicen cambios a través de scripts de PowerShell.

También puedes prevenir que todas las exclusiones no autorizadas se ejecuten en PowerShell. Esto se hace utilizando el siguiente comando, que cubre todas las letras de unidad.

Remove-MpPreference -ExclusionPath C:\,D:\,E:\,F:\,G:\,H:\,I:\,J:\,K:\,L:\,M:\,N:\,O:\,P:\,Q:\,R:\,S:\,T:\,U:\,V:\,W:\,X:\,Y:\,Z:\

Previniendo exclusiones no autorizadas para PowerShell para todas las letras de unidad.

Relacionado: Autoruns se utiliza en Windows para gestionar muchas tareas programadas.

Usa Autoruns para Detectar Entradas NSIS Falsas

Un programa de Microsoft llamado Autoruns se puede utilizar para hacer un seguimiento de los malos programas de inicio, incluidas las entradas NSIS falsas. Esta es una de las formas más fáciles de atrapar el malware Winos 4.0 y sus variantes antes de que puedan ejecutar sus cargas útiles.

Descarga el archivo ZIP de Autoruns desde la página web de Sysinternals. No se necesita instalación. Simplemente descomprime el archivo y haz doble clic en el archivo Autoruns64 (para sistemas Windows de 64 bits). Aquí, obtienes una vista general de todos los inicios de sesión activos, tareas programadas y procesos. Podrías notar entradas marcadas en rojo. Mantén un ojo en cualquier entrada relacionada con NSIS, que estará debidamente marcada.

Usando

Rara vez sospechamos de los instaladores de aplicaciones legítimas de Windows. Una vez que pasan SmartScreen (que no deberías desactivar) y las verificaciones de Seguridad de Windows, a menudo asumimos que la aplicación es segura, ya sea una VPN o un navegador. Aquí es donde los autores del malware Winos 4.0 encontraron un acceso fácil.

Por eso recomendamos verificar la credibilidad de tu instalador utilizando los métodos anteriores. Proteger tu ventana de PowerShell de ejecuciones de scripts asegura un gran nivel de seguridad. Puedes usar VirusTotal y otros sitios web para escanear malware en paquetes de instaladores.

Contenido

  1. Por qué el Malware Winos 4.0 es Peligroso
  2. Verifica las Firmas Digitales de Todos los Instaladores
  3. Habilita las Protecciones de la Aplicación de Seguridad de Windows
  4. Previene que el Malware Winos 4.0 Agregue Exclusiones a Windows Defender
  5. Usa Autoruns para Detectar Entradas NSIS Falsas
Panel de control de Ello

Ello: Explorando la Red Social Privada

Bitdefender No se Instala: 3 Soluciones Fáciles que Puedes Usar

Más sobre las soluciones de Bitdefender

Google elimina Inbox y le da seis meses de vida

aspect-ratios-16x9

Entendiendo las relaciones de aspecto de video

Administrador de Archivos con Etiquetas para Organizar tus Archivos: Top 5

Arreglar wake on LAN no funcionando

Wake On LAN No Funciona en Windows [Solucionado]

easycap-mac-mspacman-console

Usando EasyCAP para Capturar VHS y Consolas en el Mac

Google prueba una nueva función de Chrome para la elegibilidad de actualización a Windows 11