Contar con un antivirus es esencial para prevenir diversos problemas de seguridad y evitar facilitar el trabajo a los hackers. Sin embargo, en ciertas ocasiones estos programas pueden fallar y dejar de funcionar correctamente. Este artículo aborda cómo se ha logrado vulnerar la seguridad de Windows Defender, uno de los antivirus más populares entre los usuarios de Windows.
Se ha descubierto un troyano de acceso remoto llamado Cybereye, que se distribuye bajo diferentes nombres. Este malware utiliza una API bot de Telegram para comunicarse, robar información y recibir órdenes. El principal problema radica en que emplea una técnica para desactivar el antivirus de Windows.
Un troyano que desactiva Windows Defender
El troyano Cybereye tiene la capacidad de desactivar Windows Defender al modificar claves del registro y ejecutar comandos en PowerShell. Esto impide que el programa active la protección en tiempo real y la defensa contra manipulaciones, dejando a los usuarios vulnerables.
Se distribuye con varios nombres, uno de los cuales es TelegramRat. Está pensado para que hackers con menos experiencia puedan emplearlo contra sus objetivos. Permite cargar keyloggers, robar contraseñas, obtener información del portapapeles de Windows y mantener una presencia persistente en el sistema.
Además de desactivar el antivirus de Windows, este troyano tiene la habilidad de ocultarse y pasar desapercibido. Por lo tanto, es un malware que podría permanecer en el sistema durante un largo periodo sin que la víctima lo advierta. Realiza diversas comprobaciones para identificar entornos como máquinas virtuales, para decidir si debe funcionar o no.
¿Cómo se propaga esta amenaza? Generalmente, se oculta como un proceso legítimo del sistema. Puede hacerse pasar por una actualización del navegador Google Chrome, por ejemplo. La víctima podría pensar que está instalando el navegador, cuando en realidad es el troyano que se introduce en su sistema.
Una vez que ha infectado el sistema, es capaz de robar una gran cantidad de información, incluyendo credenciales del navegador, datos de sesión en aplicaciones de mensajería y archivos almacenados en el dispositivo. Todo ello se comprime, cifra y se envía a un bot de Telegram controlado por el atacante.
Cómo protegerte de esta amenaza
Como puedes ver, se trata de un software malicioso bastante serio. Para protegerte, lo más importante es mantener el sentido común. Podrías infectarte si descargas una actualización falsa de Chrome, abres un archivo peligroso o haces clic en un enlace sospechoso. Por lo tanto, evitar cometer este tipo de errores es crucial. Siempre instala programas desde fuentes oficiales, evita caer en trampas de phishing y revisa lo que actualizas.
Es fundamental que tengas todo bien actualizado. Muchas veces, los atacantes se aprovechan de aplicaciones desactualizadas que puedas tener o de un sistema operativo sin parches. Asegúrate de tener las últimas versiones para estar protegido contra múltiples amenazas de seguridad.
Además, contar con un buen antivirus es otro aspecto a considerar. Windows Defender es una opción, pero también existen otros como Avast o Bitdefender. Eso sí, asegúrate de que estén actualizados y correctamente configurados para poder detectar software malicioso y minimizar riesgos.
En resumen, ten cuidado con esta amenaza que puede desactivar Windows Defender si no estás atento. Te sugerimos instalar solo aplicaciones oficiales, revisar periódicamente que todo esté actualizado y configurar adecuadamente tu sistema.
