Nemojte kliknuti na ovo “Windows Update”, ostat ćete bez lozinki

Ako vas bilo koje web mjesto zatraži da ručno instalirate “Windows ažuriranje” klikom na veliki plavi gumb za preuzimanje, odmah zatvorite tu karticu preglednika.

Malwarebytes je upravo otkrio lažnu Microsoftovu stranicu za podršku (microsoft-update.support) koja se pretvara da nudi kumulativno ažuriranje za Windows 24H2, ali zapravo isporučuje malware za krađu lozinki.

Cijela je stranica dizajnirana da izgleda službeno, čak i korištenjem ispravnog referentnog formata (KB stil) i preuzimanjem 83MB MSI datoteke pod nazivom Windowsupdate1.0.0.msi, koja izgleda prilično legitimno čak iu formatu datoteke.

Stranica je trenutno napisana na francuskom, što sugerira da su prva meta prijevare korisnici koji govore francuski.

Međutim, Malwarebytes upozorava da se ove vrste operacija mogu brzo proširiti. Sam instalacijski program stvoren je korištenjem legitimnog WiX Toolseta, a njegovi metapodaci lažirani su da izgledaju kao da ih je napravio Microsoft.

To pomaže da prođe nezapaženo od strane korisnika i nekih osnovnih sigurnosnih provjera.

MSI datoteka ispušta aplikaciju temeljenu na Electronu u korisničku mapu AppData i zatim pokreće dodatne komponente, uključujući maskirano Python runtime.

Od tamo zlonamjerni softver povlači alate i pakete koji se odnose na krađu podataka, kao što su komponente šifriranja, inspekcija procesa i dublji pristup sustavu Windows.

Tvrtka kaže da maliciozni kod također cilja na Discord, mijenjajući njegove datoteke kako bi presreli tokene za prijavu, podatke o plaćanju i promjene u dvofaktorskoj autentifikaciji.

Malwarebytes kaže da zlonamjerni softver također “hvata otiske prstiju” žrtvama provjeravajući IP adresu i geolokaciju, kontaktirajući infrastrukturu za upravljanje i kontrolu (C2) hostiranu putem usluga Render i Cloudflare Workers te slanjem ukradenih podataka putem usluge Gofile.

Jedan uznemirujući detalj otkriven u izvješću je taj da su u vrijeme analize glavna izvršna datoteka i pokretač imali nultu detekciju u desecima antivirusnih programa na web stranici VirusTotal.

Tvrtka objašnjava da je to zato što zlonamjerni softver skriva svoju logiku unutar maskiranog JavaScripta, legitimnih Electron komponenti i Python alata koji se preuzimaju tijekom izvođenja, umjesto da koristi jednu očito zlonamjernu binarnu datoteku.

Dakle, ukratko: ne nasjedajte na ovu lažnu stranicu za podršku za Windows. On vam ne pomaže da ažurirate svoje računalo, on ga pokušava opljačkati.