Не попадайтесь на уловки этого поддельного сайта поддержки обновлений Windows. Он распространяет вредоносное ПО, крадущее пароли.

Дядя Влад

Если веб-сайт предлагает вам вручную установить « обновление Windows » с помощью большой синей кнопки загрузки, немедленно закройте эту вкладку. Malwarebytes только что обнаружил поддельный веб-сайт поддержки Microsoft (microsoft-update.support), который якобы предлагает накопительное обновление для Windows 24H2, но на самом деле распространяет вредоносное ПО для кражи паролей.

Вся страница оформлена так, чтобы выглядеть официально, и даже использует правильные ссылки в стиле KB, а также загружает файл MSI размером 83 МБ под названием Windowsupdate1.0.0.msi, который выглядит вполне легитимно даже в свойствах файла.

Что на самом деле делает вредоносное ПО

Логотип Malwarebytes на белом фоне.
Malwarebytes

В настоящее время сайт написан на французском языке, что говорит о том, что мошенническая схема в первую очередь нацелена на франкоязычных пользователей. Однако Malwarebytes предупреждает, что подобные операции могут быстро распространяться. Сам установщик создан с использованием легитимного набора инструментов WiX Toolset, а его метаданные подделаны, чтобы создать впечатление, будто он разработан Microsoft. Это помогает ему замаскироваться как для пользователей, так и для некоторых базовых проверок безопасности.

MSI-файл размещает приложение на основе Electron в папке AppData пользователя, а затем запускает дополнительные компоненты, включая замаскированную среду выполнения Python. После этого вредоносная программа подключает инструменты и пакеты, связанные с кражей данных, такие как компоненты, используемые для шифрования, анализа процессов и более глубокого доступа к Windows. Компания заявляет, что вредоносный код также нацелен на Discord , изменяя его файлы для перехвата токенов авторизации, платежных данных и изменений двухфакторной аутентификации.

ноутбук Malwarebytes
Malwarebytes

Компания Malwarebytes заявляет, что также идентифицирует жертв по IP-адресу и геолокации, связывается с инфраструктурой управления и контроля, размещенной на серверах Render и Cloudflare Workers, и загружает украденные данные через Gofile.

Почему вам следует прислушаться к этому предупреждению

Тревожная деталь, обнаруженная в отчете, заключается в том, что на момент анализа Malwarebytes основной исполняемый файл и лаунчер не были обнаружены десятками антивирусных движков на VirusTotal. Компания утверждает, что это связано с тем, что вредоносная программа скрывает свою логику внутри обфусцированного JavaScript, легитимных компонентов Electron и инструментов Python, предоставляемых средой выполнения, вместо одного явно вредоносного исполняемого файла. Поэтому, по сути, не ведитесь на этот поддельный сайт поддержки Windows. Он не поможет вам обновить ваш компьютер. Он пытается его ограбить.