Menú
Sábado, 06 de Septiembre de 2025
Diario de Economía de la Región de Murcia
OPINIÓNCuidado con las actualizaciones falsas: FakeUpdates
  • Buscar
Sábado, 06 de Septiembre de 2025
Diario de Economía de la Región de Murcia

DIARIO DE ECONOMÍA DE LA REGIÓN DE MURCIA

Aquilino García

Cuidado con las actualizaciones falsas: FakeUpdates


“La España de Bruselas y Estrasburgo es la anti-España absoluta, negación de lo que ha sido nuestro ser histórico. España ha traicionado su razón de ser, su sentido histórico”. Juan Manuel de Prada.

 

[Img #9050]

 

FakeUpdates (conocido como SocGholish) es un malware downloader que se ha mantenido entre el top ten de los índices de amenazas globales. Descubierto en 2018, actúa inyectando código JavaScript malicioso en sitios web.

 

Cuando un usuario accede a una de estas páginas maliciosas, el script oculta verifica el entorno del navegador y presenta al usuario un mensaje de “actualización” falsificada. Si el usuario descarga y ejecuta este “update”, ya estas infectado: se instala el downloader SocGholish, dando lugar a la descarga de malware adicional, troyanos de acceso remoto o ransomware. Es importante tomar conciencia, ya que este tipo de ataques, permanecen a veces meses «durmientes» hasta que consideran que el ataque va a producir un mayor daño.

 

Este mecanismo sofisticado ha permitido a los atacantes vender el acceso a los sistemas infectados como servicio de malware-as-a-service. Una infección de FakeUpdates suele desembocar en múltiples compromisos posteriores (por ejemplo GootLoader, Dridex, NetSupport, DoppelPaymer o AZORult).

 

Vectores de infección

 

FakeUpdates se propaga principalmente mediante descargas de oportunidad (drive-by downloads) en sitios web legítimos comprometidos. Los atacantes logran inyectar JavaScript malicioso en portales con alto tráfico (sitios corporativos, medios de comunicación, blogs), de forma que cuando un usuario llega a esa URL inyectada por cualquier medio (phishing, redes sociales, búsquedas en Google, campañas de marketing), el código malicioso se ejecuta en el equipo infectado. En campañas recientes se han explotado especialmente sitios WordPress cuya administración (wp-admin) ha sido vulnerada mediante credenciales filtradas; en esos casos se modifican plugins o componentes legítimos de WordPress para insertar las trampas de descarga.

 

Los vectores concretos incluyen:

 

  • Sitios web comprometidos: dominan el esquema de ataque. Al infectar portales legítimos, los atacantes ganan visibilidad y confianza (los usuarios no suelen sospechar de sitios conocidos).

 

  • Scripts JavaScript maliciosos: inyectados en las páginas web, descargan dinámicamente el payload. El script decide si el navegador cumple criterios de compatibilidad y geolocalización, y solo en esos casos muestra la ventana emergente del “update”.

 

  • Ingeniería social / mensajes de phishing: en ocasiones, FakeUpdates se distribuye vía enlaces enviados por correo o redes sociales que redirigen al sitio malicioso (sin que el usuario lo perciba). Aunque no hay llamada a la acción típica (no aparece un falso premio o amenaza explícita), la página inyectada convence con apariencia profesional y dominio.

 

Cadena de ejecución

 

La infección por FakeUpdates suele desarrollarse en varias etapas claramente diferenciadas:

 

  • Carga del JavaScript malicioso (drive-by): Al acceder al sitio web comprometido, se ejecuta automáticamente un script ofuscado en el navegador. Este script primero realiza comprobaciones de entorno (sistema operativo Windows, versiones de navegador soportadas, origen externo, etc.). Si el navegador cumple las condiciones, se procede a la siguiente fase.

 

  • Descarga de la falsa actualización: El script muestra una ventana emergente (modal) que simula una actualización de navegador, Flash o códec multimedia. Si el usuario hace clic en “Actualizar” o “Descargar”, se descarga un archivo comprimido. Este archivo es un ZIP o SCR que contiene el siguiente payload de SocGholish, típicamente denominado AutoUpdater.js o similarproofpoint. El usuario debe ejecutar (abrir) manualmente este archivo descargado para continuar el ataque. Muy importante nunca hacer procesos de actualización mientras navegamos, eso suele confundirnos y provocar errores.

 

  • Ejecución del código SocGholish: Al ejecutar el payload, se lanza un intérprete de scripting (por ejemplo wscript.exe) que descifra el loader en JavaScript. En esta etapa se utilizan llamadas a WMI (Windows Management Instrumentation) para recopilar información del sistema (nombre de dominio, cuentas de usuario, configuraciones) y determinar la idoneidad del equipo como víctima. Los datos recogidos se envían al servidor de mando y control, lo que sirve para escoger la carga útil secundaria.

 

  • Descarga de cargas útiles adicionales: Con base en la información recolectada, SocGholish descarga otros componentes maliciosos (troyanos RAT, cryptominers, ransomware, etc.) del servidor del atacante. El loader crea procesos legítimos de Windows (por ejemplo RegAsm.exeRegSvcs.exe) e inyecta el malware secundario en ellos para ocultar su actividad. A partir de aquí, el atacante obtiene persistencia y control del sistema infectado.

 

Estos pasos pueden resumirse en un flujo ordenado (tal como lo documentan análisis recientes): al ingresar a la página comprometida se activa el script de SocGholish, luego se engaña al usuario con la actualización falsa para descargar el archivo AutoUpdater.js, el cual al ejecutarse inicia el reconocimiento del sistema y finalmente instala los payloads deseados. Cada etapa utiliza ofuscación y verificación adicionales (cookies, tokens, decoys) para evadir detección hasta completar la infección. El antivirus, ni se entera normalmente.

 

Factores que favorecen su propagación

 

FakeUpdates ha demostrado una gran eficacia de propagación debido a varias razones interrelacionadas:

 

  • Uso de sitios legítimos como vector: Al inyectarse en portales con buena reputación o posicionamiento SEO, los atacantes consiguen que Google y agregadores web difundan los enlaces maliciosos. Por ejemplo, Proofpoint identificó más de 1.000 implantes activos de SocGholish en sitios que cumplen criterios de alto tráfico, afectando a múltiples países (incluida España).

 

  • Cadena de ataque compleja y ofuscada: El loader JavaScript está altamente ofuscado y fragmentado en múltiples etapas. Esto, junto con la inyección en procesos nativos de Windows (WMI, RegAsm, RegSvcs), dificulta la detección por firmas convencionales. Además, cada etapa realiza validaciones adicionales (datos de navegador, cookies, dominio de origen), lo que atenúa falsos positivos y acentúa la evasión.

 

  • Ingeniería social sutil: Las ventanas de actualización falsa aparentan legítimas (incluyen logotipos oficiales, URLs creíbles) y carecen de clamores evidentes. No usan amenazas ni beneficios obvios, por lo que muchos usuarios confían en ellas si provienen de fuentes aparentemente legitimas.

 

  • Servicio de malware como negocio: SocGholish es un MaaS (Malware-as-a-Service). Los grupos detrás, como Evil Corp, venden el acceso a las máquinas infectadas a terceros compradores. Esto significa que una sola campaña de SocGholish puede conducir a múltiples infecciones secundarias (ransomware, stealer, adware) de diferentes operadores, multiplicando el impacto del ataque.

 

En conjunto, estas características hacen que FakeUpdates se mantenga en la cima de las amenazas: según Check Point Research, en abril de 2025 alcanzó la primera posición en el índice global de malware, afectando al 6% de las organizaciones mundialmente, y nada menos que al 11% de las empresas españolas. Posiblemente muchas de ellas no lo sepan aún y tengan problemas en breve. El uso de técnicas avanzadas y la explotación de vulnerabilidades humanas y de software explican por qué persiste en la actualidad.

 

Prevalencia en España

 

Los datos oficiales recientes confirman la alta incidencia de FakeUpdates en España. Según el Índice Global de Amenazas de abril de 2025 de Check Point, FakeUpdates se posicionó como el malware más prevalente en España, impactando al 11% de las empresas del cibersecuritynews. En comparación, en el ámbito mundial afectó al 6% de las organizaciones. La rapidez con que escaló en España puede atribuirse a campañas locales de envenenamiento de sitios web populares y a la amplia difusión de las cadenas multi-etapa que lo acompañan. En marzo de 2025, por ejemplo, FakeUpdates ya había entrado en el top de amenazas de España (aunque entonces con un 3,2% de impacto), dato que se multiplicó gracias a nuevas ondas de ataques detectadas en abril. Estas cifras respaldan la gravedad de la amenaza: se estima que un de cada diez organismos españoles estaría expuesto a una campaña de FakeUpdates en ese periodo.

 

Casos recientes destacados

 

En los últimos meses se han documentado varias campañas de FakeUpdates en Europa:

 

  • Campaña en WordPress (febrero 2024): Check Point Research identificó una campaña fresca en la que se comprometieron sitios de WordPress mediante cuentas de administrador hackeadas. Los operadores de FakeUpdates alteraron plugins legítimos de WordPress para incrustar los scripts de descarga. Así, usuarios que visitaban esos sitios eran redirigidos a páginas que simulaban actualizaciones de software y terminaban descargando troyanos de acceso remoto. Esta campaña fue resaltada en el informe global de febrero de 2024 de Check Point.

 

  • Distribución de RansomHub (marzo 2025): Analistas de Trend Micro describieron la cadena de intrusión ‘Water Scylla’, donde SocGholish (FakeUpdates) servía de vector inicial para el ransomware. En este caso, los atacantes infectaban sitios legítimos con scripts maliciosos para redirigir a los visitantes a notificaciones de actualización falsas, persuadiéndolos a descargar un archivo ZIP con el loader de Fake Updates. El loader luego descargaba y ejecutaba una puerta trasera que facilitaba la instalación de RansomHub. Este escenario ilustra la capacidad de SocGholish para integrarse en sofisticadas campañas multi-etapa, incluso habilitando ataques de ransomware de doble extorsión.

 

Estos ejemplos recientes subrayan la tendencia: FakeUpdates sigue empleando vectores tradicionales (web comprometidos y engaños) combinados con técnicas cada vez más furtivas. Por ello, las organizaciones deben mantenerse alerta ante indicios de scripts desconocidos en sus portales y reforzar sus controles de seguridad web.

 

Medidas de protección para PYMEs

 

Para las pequeñas y medianas empresas es crucial adoptar una defensa en profundidad. Entre las medidas recomendadas se incluyen:

 

 

  • Hardening del navegador: Utilizar navegadores actualizados y configurados de forma segura (deshabilitar complementos o ActiveX innecesarios, bloquear ventanas emergentes no deseadas, restringir la ejecución de scripts de orígenes no confiables). Limitar el número de extensiones y extensiones a las imprescindibles reduce la superficie de ataque.

 

  • Filtrado de contenido web: Emplear soluciones de filtrado de URL y proxies seguros para bloquear el acceso a sitios conocidos maliciosos o sospechosos. Las pasarelas de seguridad web modernas pueden inspeccionar el contenido de las páginas en busca de patrones de FakeUpdates (por ejemplo, scripts ofuscados o peticiones a dominios de C2) y evitar que los usuarios carguen las páginas web infectadas.

 

  • Seguridad de endpoints (EDR): Implementar herramientas de detección y respuesta en los equipos finales (EDR/XDR). Estas soluciones pueden identificar comportamientos anómalos de SocGholish, como la creación inusual de procesos (p.ej. wscript.exe ejecutando scripts desconocidos) o la inyección en procesos legítimos. Un EDR bien configurado detectaría y aislaría el malware antes de que descargue cargas útiles adicionales.

 

  • Gestión de parches y actualizaciones: Mantener siempre actualizados el sistema operativo, navegadores y plugins (incluyendo CMS o librerías web). FakeUpdates y otros malware suelen explotar vulnerabilidades conocidas durante el proceso de instalación. Tener parches al día cierra muchas de las posibles entradas que el malware podría aprovechar.

 

  • Concienciación del personal: Capacitar a los empleados para identificar amenazas de ingeniería social. Aunque FakeUpdates se sirve como una descarga de update, es fundamental que el personal entienda que las actualizaciones sólo deben realizarse mediante los canales oficiales del proveedor. La educación sobre no ejecutar archivos descargados sin verificar y el reconocimiento de señales (URLs sospechosas, gramática extraña, logotipos falsos) puede evitar la mayor parte de estas infecciones.

 

En resumen, las PYMEs deben combinar controles técnicos con políticas organizativas. Un buen firewall con filtrado web, soluciones antimalware avanzadas (incluyendo EDR) y un plan de concienciación al usuario constituyen barreras efectivas contra FakeUpdates. La protección de CMS y aplicaciones web (hardening de servidores, monitoreo de integridad de archivos) también es esencial para impedir que los atacantes comprometan sitios desde los cuales lanzar la amenaza.

 

Fuentes: Informes y blogs de ciberseguridad (Check Point Research, Trend Micro, EuropaPress) provistos de estadísticas y análisis técnicos recientes. Estos datos subrayan la urgencia de proteger las empresas contra FakeUpdates y otras amenazas emergentes. Ojo, 11% de empresas afectadas. Los próximos meses van a dar faena a los técnicos en ciberseguridad. Analizar y chequear los sistemas para detectar si están infectados es enormemente más económico que activar el ataque.

 

Linkedin: Aquilino García

Artículos de opinión relacionados

Aquilino García
Aquilino García
El DNI parte 2: Impacto de la legislación europea y la gestión de la identidad digital
Aquilino García
Aquilino García
El antivirus en 2025: Un aliado con riesgos ocultos en la era de la ciberseguridad
Con tu cuenta registrada

Escribe tu correo y te enviaremos un enlace para que escribas una nueva contraseña.

Volver a acceder