Microsoft Defender en la mira: descubren un nuevo malware que bloquea su protección
Nueva amenaza pone en jaque a Microsoft Defender: el malware DreamDemon desactiva la protección EDR y expone a Windows a riesgos críticos de seguridad.
Microsoft Defender en la mira: descubren un nuevo malware que bloquea su protección
Imagen extraida de la webLa seguridad de Windows vuelve a estar en el centro de la escena. Investigadores han alertado sobre un nuevo ataque que afecta directamente a Microsoft Defender, el antivirus que viene instalado por defecto en las versiones más recientes del sistema operativo.
El 28 de agosto, el experto en ciberseguridad Jonathan Beierle publicó un informe en el que detalló cómo los ciberdelincuentes están explotando las políticas de Control de Aplicaciones de Windows Defender para desactivar los agentes de Detección y Respuesta de Endpoints (EDR). Esto implica que, incluso con el antivirus instalado, puede dejar de funcionar correctamente y no detectar ciertas amenazas.
Del proyecto Krueger a la amenaza DreamDemon
Todo comenzó como una prueba de concepto llamada Krueger, publicada en diciembre de 2024. Su función era bloquear archivos ejecutables y controladores de proveedores clave de seguridad como CrowdStrike, SentinelOne, Symantec, Tanium y el propio Microsoft Defender Endpoint.
Lo que parecía un experimento terminó convirtiéndose en una amenaza real. Krueger evolucionó y dio lugar a una nueva familia de malware denominada DreamDemon, mucho más sofisticada. Mientras que Krueger fue escrito en .NET, DreamDemon está desarrollado en C++ y, al ejecutarse, modifica políticas en el archivo C:\Windows\System32\CodeIntegrity\SiPolicy.p7b, impidiendo que los servicios de EDR se carguen.
Los investigadores ya han detectado muestras activas con hashes SHA-256 como:
- 90937b3a64cc834088a0628fda9ce5bd2855bedfc76b7a63f698784c41da4677.
- a795b79f1d821b8ea7b21c7fb95d140512aaef5a186da49b9c68d8a3ed545a89.
Estas variantes utilizan un conjunto de reglas de bloqueo que afectan directamente a las rutas de archivos y controladores vinculados a Microsoft Defender, convirtiéndose en un serio desafío para la protección de Windows.
Cómo reconocer y prevenir ataques de malware
Los especialistas recomiendan a los equipos de seguridad supervisar las claves de registro de Windows DeviceGuard (ConfigCIPolicyFilePath y DeployConfigCIPolicy) para identificar implementaciones sospechosas.
Otra de las advertencias apunta a los archivos maliciosos que circulan disfrazados de documentos legítimos, como un supuesto PDF que actúa como binario de WDAC. Por eso, la prevención es fundamental: revisar con cuidado los archivos descargados, evitar ejecutar contenido de fuentes desconocidas y desconfiar de adjuntos recibidos por correo electrónico.
Actualizar sigue siendo clave
Aunque contar con un antivirus instalado es importante, los expertos insisten en que no es suficiente. Actualizar Windows y todas las aplicaciones es una de las medidas más efectivas para corregir vulnerabilidades y permitir que las herramientas de seguridad reconozcan las amenazas más recientes.
La evolución de Krueger hacia DreamDemon demuestra cómo una simple prueba de concepto puede convertirse en un problema global. El ataque dirigido a Microsoft Defender revela la necesidad de reforzar la seguridad más allá de las herramientas