Не попадайтесь на этот фальшивый сайт поддержки обновлений Windows. Он распространяет вредоносное ПО для кражи паролей.

Не попадайтесь на этот фальшивый сайт поддержки обновлений Windows. Он распространяет вредоносное ПО для кражи паролей.

      Фальшивый сайт обновления Windows обманывает пользователей, заставляя их устанавливать вредоносное ПО

      Если веб-сайт предлагает вам вручную установить «обновление Windows» с большой синей кнопки загрузки, немедленно закройте эту вкладку. Malwarebytes только что обнаружил фальшивый сайт поддержки Microsoft (microsoft-update.support), который притворяется, что предлагает кумулятивное обновление для Windows 24H2, но на самом деле распространяет вредоносное ПО для кражи паролей.

      Вся страница оформлена так, чтобы выглядеть официально, и даже использует правильные ссылки в стиле KB и загружает MSI-файл размером 83 МБ под названием Windowsupdate1.0.0.msi, который выглядит вполне легитимно даже в свойствах файла.

      Что на самом деле делает вредоносное ПО

      Сайт в настоящее время написан на французском языке, что предполагает, что мошенничество в первую очередь нацелено на франкоязычных пользователей. Но Malwarebytes предупреждает, что эти операции могут быстро распространяться. Сам установщик был создан с использованием легитимного инструментария WiX Toolset, а его метаданные подделаны, чтобы выглядеть как созданные Microsoft. Это помогает ему сливаться как для пользователей, так и для некоторых базовых проверок безопасности.

      MSI помещает приложение на основе Electron в папку AppData пользователя, затем запускает дополнительные компоненты, включая замаскированный Python-движок. Оттуда вредоносное ПО загружает инструменты и пакеты, связанные с кражей данных, такие как компоненты, используемые для шифрования, инспекции процессов и более глубокого доступа к Windows. Компания сообщает, что вредоносный код также нацеливается на Discord, модифицируя его файлы для перехвата токенов входа, платежных данных и изменений двухфакторной аутентификации.

      Malwarebytes

      Malwarebytes также устанавливает отпечатки жертв, проверяя IP и геолокацию, связывается с инфраструктурой командного управления, размещенной через Render и Cloudflare Workers, и загружает украденные данные через Gofile.

      Почему вам стоит обратить внимание на это предупреждение

      Тревожная деталь, обнаруженная в отчете, заключается в том, что на момент анализа Malwarebytes основной исполняемый файл и загрузчик не показали ни одной детекции в десятках антивирусных движков на VirusTotal. Компания утверждает, что это связано с тем, что вредоносное ПО скрывает свою логику внутри запутанного JavaScript, легитимных компонентов Electron и инструментов Python, поставляемых во время выполнения, вместо одного явно вредоносного бинарного файла. Так что, в общем, не попадайтесь на этот фальшивый сайт поддержки Windows. Он не помогает вам обновить ваш ПК. Он пытается его ограбить.

Не попадайтесь на этот фальшивый сайт поддержки обновлений Windows. Он распространяет вредоносное ПО для кражи паролей. Не попадайтесь на этот фальшивый сайт поддержки обновлений Windows. Он распространяет вредоносное ПО для кражи паролей. Не попадайтесь на этот фальшивый сайт поддержки обновлений Windows. Он распространяет вредоносное ПО для кражи паролей. Не попадайтесь на этот фальшивый сайт поддержки обновлений Windows. Он распространяет вредоносное ПО для кражи паролей. Не попадайтесь на этот фальшивый сайт поддержки обновлений Windows. Он распространяет вредоносное ПО для кражи паролей. Не попадайтесь на этот фальшивый сайт поддержки обновлений Windows. Он распространяет вредоносное ПО для кражи паролей. Не попадайтесь на этот фальшивый сайт поддержки обновлений Windows. Он распространяет вредоносное ПО для кражи паролей.

Другие статьи

Uber и Nuro начинают тестирование сотрудников на роботакси Lucid Gravity Uber и Nuro начинают тестирование сотрудников на роботакси Lucid Gravity Uber и Nuro начали тестовые поездки для сотрудников на роботакси Lucid Gravity в Сан-Франциско. Открытый запуск запланирован на конец 2026 года. OpenAI приобретает Hiro, стартап в области искусственного интеллекта для личных финансов OpenAI приобретает Hiro, стартап в области искусственного интеллекта для личных финансов OpenAI приобрела Hiro Finance, стартап в области личных финансов на базе ИИ, поддерживаемый Ribbit и General Catalyst. Приложение закроется 20 апреля. Uber и Nuro начинают тестирование сотрудников на роботакси Lucid Gravity Uber и Nuro начинают тестирование сотрудников на роботакси Lucid Gravity Uber и Nuro начали тестовые поездки сотрудников на роботакси Lucid Gravity в Сан-Франциско. Публичный запуск запланирован на конец 2026 года. Премьер-министр Испании Педро Санчес посещает парк технологий Xiaomi в Пекине Премьер-министр Испании Педро Санчес посещает парк технологий Xiaomi в Пекине В понедельник испанский премьер-министр Педро Санчес, который находится с официальным визитом в Китае, посетил Технологический парк Xiaomi в Пекине. Лэй Цзюнь, генеральный директор Meta создает ИИ-версию Марка Цукерберга Meta создает ИИ-версию Марка Цукерберга Meta создает фотореалистичную версию Марка Цукерберга на основе его манер и стратегического мышления, чтобы взаимодействовать с сотрудниками от его имени. Kelluu привлекла 15 миллионов евро для создания постоянного воздушного слоя разведки для Европы Kelluu привлекла 15 миллионов евро для создания постоянного воздушного слоя разведки для Европы Kelluu привлекла 15 миллионов евро в рамках раунда финансирования Series A. Ее автономные дирижабли работают в арктических условиях и были протестированы в ходе живых учений НАТО.

Не попадайтесь на этот фальшивый сайт поддержки обновлений Windows. Он распространяет вредоносное ПО для кражи паролей.

Malwarebytes предупреждает, что поддельный сайт поддержки Microsoft распространяет вредоносное ПО для кражи паролей через поддельный установщик обновлений Windows.