Este nuevo malware hace que Microsoft Defender se apague solo en Windows 11
Una nueva campaña de malware consigue que Windows 11 desactive sus propias defensas, incluyendo Microsoft Defender, sin aprovechar vulnerabilidades técnicas.
Una nueva campaña de malware ha demostrado que los atacantes pueden desactivar incluso el antivirus de Windows 11 sin que el usuario lo note, dejando el sistema vulnerable a infecciones de malware.
Para lograrlo, no necesitan explotar fallos de seguridad; en su lugar, utilizan la propia lógica del sistema operativo para desactivar sus defensas desde dentro, exponiendo por completo a los usuarios.
Según informan investigadores de Fortinet, la amenaza logra desactivar Microsoft Defender y otras protecciones sin aprovechar vulnerabilidades técnicas, apoyándose en ingeniería social y en el abuso de comportamientos legítimos de Windows.
El ataque suele comenzar con un archivo comprimido que aparenta ser un documento empresarial rutinario. Dentro del archivo no hay un documento tradicional, sino accesos directos maliciosos que parecen inofensivos. Al abrirlos, se ejecutan scripts de PowerShell que eluden las políticas de ejecución del sistema y descargan más componentes maliciosos.
Una vez dentro, el malware registra un falso antivirus en el sistema. Windows está diseñado para desactivar Microsoft Defender si detecta otra solución de seguridad activa, lo que permite al malware apagar las defensas automáticamente sin mostrar alertas evidentes.
Los atacantes también inyectan código en procesos de confianza, como el Administrador de tareas, reduciendo aún más las probabilidades de detección.
El malware continúa deshabilitando herramientas clave como el Editor del Registro, el cuadro Ejecutar, la Configuración del Sistema y el Entorno de Recuperación de Windows mediante comandos administrativos legítimos.
Los componentes del ataque se alojan en plataformas legítimas, como GitHub o Dropbox, lo que permite que el tráfico malicioso se mezcle con conexiones normales y pase desapercibido para muchas herramientas de seguridad.
Tras desactivar las defensas, los atacantes despliegan un troyano de acceso remoto (RAT) capaz de robar datos del navegador, contraseñas guardadas e información de monederos de criptomonedas.
Así Windows 11 no es atacado mediante vulnerabilidades, sino que es engañado para desactivar sus propias protecciones, dejando a los usuarios completamente expuestos a todo tipo de amenazas.