Компанія з кібербезпеки Malwarebytes попереджає про існування підробленого сайту технічної підтримки Windows, який пропонує завантажити «кумулятивне оновлення» для Windows 11 версії 24H2. Сайт та файл виглядають досить правдоподібно, що не викликає підозр у користувачів. Коли натискається кнопка «Завантажити оновлення», починається завантаження пакета розміром 83 МБ, який призначений для крадіжки паролів, платіжних даних та облікових записів користувачів.
Шкідливий пакет був створений за допомогою WiX Toolset версії 4.0.0.5512 — легітимного інструменту з відкритим кодом для створення інсталяторів. Файл, названий WindowsUpdate 1.0.0.msi, містить підроблені метадані: у полі «Автор» вказано Microsoft, а назва — Installation Database. У коментарях зазначено, що файл містить «логіку та дані, необхідні для встановлення WindowsUpdate», що може ввести в оману недосвідчених користувачів.
Дослідники Malwarebytes підкреслюють надзвичайну прихованість цього шкідливого програмного забезпечення. На момент аналізу сервіс VirusTotal не зафіксував жодного спрацювання з 69 антивірусних систем для основного виконуваного файлу та 0 з 62 для VBS-завантажувача. Ефективність шкідника пояснюється його архітектурою: оболонка Electron, яку використовують мільйони програм, приховує шкідливу логіку в обфускованому JavaScript-коді, що не проходить глибоку перевірку антивірусами. Додатково використовується корисне навантаження на Python, яке запускається під підробленим ім’ям процесу та динамічно підвантажує компоненти з легітимних джерел під час виконання. Лише повне відстеження ланцюга дій дозволяє виявити крадіжку даних.
Зловмисники використовують домен microsoft-update.support, тоді як офіційний сайт підтримки розміщений за адресою support.microsoft.com. Malwarebytes вже внесла цю загрозу до своєї бази даних для автоматичного виявлення.
Не пропустіть цікаве! Підписуйтесь на наші канали та читайте анонси хай-тек новин, тестів та оглядів у зручному форматі!