Читатели Neowin прекрасно осведомлены о том, как легитимные обновления Windows 11 могут нарушать работу важных функций, таких как Поиск в меню «Пуск» и функция сброса ПК; однако вредоносные подделки могут быть еще более губительными. Согласно новому исследованию, опубликованному Malwarebytes, один из таких поддельных веб-сайтов поддержки Microsoft вводит пользователей в заблуждение, заставляя их устанавливать вредоносное «обновление Windows», которое незаметно похищает конфиденциальные данные.
Фирма по кибербезопасности отмечает, что кампания проводится с помощью убедительного фишингового сайта, размещенного на домене с опечаткой, который имитирует официальные страницы поддержки Microsoft. Атака нацелена в основном на пользователей Windows во Франции, предлагая то, что выглядит как легитимное накопительное обновление для Windows 11 24H2. По совпадению, правительство Франции недавно решило отказаться от Windows в пользу Linux, и хотя это, вероятно, не связано, мы задаемся вопросом, есть ли какая-то связь.
По словам исследователей, сайт “microsoft-update[.]support” демонстрирует знакомый пользовательский интерфейс и цветовую схему, дополненные поддельным справочным кодом (KB) и заметной кнопкой «Загрузить обновление». Пользователи, которые нажимают на нее, получают установочный файл размером 83 МБ с названием «WindowsUpdate 1.0.0.msi», который на первый взгляд кажется подлинным. Наблюдательные пользователи заметят на изображении ниже, что доставляемое обновление, «KB5034765», было выпущено еще в феврале 2024 года для Windows 11 23H2 и 22H2, а не для 24H2.
Атака также использует надежные технологии для сокрытия истинных намерений. Установщик создан с помощью WiX Toolset, широко используемого фреймворка с открытым исходным кодом, и развертывает приложение на базе Electron, по сути, оболочку браузера Chromium, для выполнения полезной нагрузки. Такой многоуровневый подход помогает вредоносному ПО избежать обнаружения антивирусами. Malwarebytes отмечает нулевое количество обнаружений в десятках систем безопасности на момент анализа, поскольку сам исполняемый файл чист.
После запуска установщик запускает скрипт Visual Basic, который активирует приложение Electron, которое, в свою очередь, порождает замаскированный процесс Python. Этот процесс устанавливает несколько пакетов, обычно связанных с кражей данных, включая инструменты для шифрования, инспекции системы и глубокого доступа к API Windows. Затем вредоносное ПО начинает собирать конфиденциальные данные, поскольку Malwarebytes обнаружил, что оно может извлекать учетные данные, сохраненные в браузере, токены Discord и захватывать информацию, связанную с платежами.
Для поддержания постоянства вредоносное ПО использует несколько хитростей в свою пользу, включая запись в реестре, замаскированную под реальный компонент безопасности Windows, и ярлык автозапуска, выдающий себя за .lnk-лаунчер приложения Spotify. Такой подход гарантирует, что вредоносное ПО переживет перезагрузки системы с минимальными подозрениями.
Пользователям рекомендуется устанавливать обновления только через официальные настройки Центра обновления Windows или доверенные домены Microsoft. Вы также можете следить за Neowin, поскольку мы освещаем эти обновления и ссылаемся только на официальные, безопасные сайты Microsoft, или авторитетные сторонние приложения. Любые автономные загрузки обновлений с незнакомого веб-сайта следует рассматривать как подозрительные и с крайней осторожностью. Более подробную техническую информацию можно найти в оригинальном сообщении в блоге здесь на сайте Malwarebytes.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sayan Sen
