Нова кампања со малициозен софтвер користи лажна страница за ажурирање на Windows што антивирусите тешко ја откриваат.
Ако некоја веб-страница ве поттикне рачно да инсталирате „Windows update“ со кликнување на големото сино копче за преземање, веднаш затворете го тој таб во вашиот прелистувач. Malwarebytes штотуку откри лажна страница за поддршка на Microsoft (microsoft-update.support) што се преправа дека нуди кумулативно ажурирање за Windows 24H2, но всушност испорачува малициозен софтвер што краде лозинки.
Целата страница е дизајнирана да изгледа официјално, дури и го користи точниот формат на референца (стил на KB) и презема MSI датотека од 83MB наречена Windowsupdate1.0.0.msi, што изгледа прилично легитимно дури и во форматот на датотеката.
Страницата моментално е напишана на француски јазик, што сугерира дека првата цел на измамата се корисниците што зборуваат француски. Сепак, Malwarebytes предупредува дека овие типови операции може брзо да се шират. Самиот инсталер е креиран со користење на легитимниот WiX Toolset, а неговите метаподатоци се лажни за да изгледаат како да е креиран од Microsoft. Ова помага да остане незабележано и од корисниците и од некои основни безбедносни проверки.
MSI датотеката ја фрла апликацијата базирана на Electron во папката AppData на корисникот, а потоа извршува дополнителни компоненти, вклучувајќи маскирано време на извршување на Python. Оттаму, малициозниот софтвер влече алатки и пакети поврзани со кражба на податоци, како што се компоненти за енкрипција, инспекција на процеси и подлабок пристап до Windows. Компанијата вели дека малициозниот код, исто така, го таргетира Discord, менувајќи ги неговите датотеки за да ги пресретне токените за најавување, податоците за плаќање и промените во двофакторската автентикација.
Malwarebytes вели дека малициозниот софтвер, исто така, „дава отпечатоци“ од жртвите со проверка на IP адресата и геолокацијата, контактирање на инфраструктурата за команда и контрола (C2) хостирана преку Render и Cloudflare Workers и испраќање украдени податоци преку Gofile.
Еден вознемирувачки детаљ откриен во извештајот е дека во времето на анализата, главната извршна датотека и лансирачот имале нула детекции низ десетици антивирусни програми на веб-страницата VirusTotal. Компанијата објаснува дека ова е затоа што малициозниот софтвер ја крие својата логика во замаглен JavaScript, легитимни компоненти на Electron и алатки на Python кои се преземаат за време на извршување, наместо да користи една очигледно малициозна бинарна датотека.
Значи, накратко: не наседнувајте на оваа лажна страница за поддршка на Windows. Тој не ви помага да го ажурирате вашиот компјутер, туку се обидува да го „киднапира“.
