Фальшивый сайт поддержки Windows распространяет вредоносное ПО под видом обновления 24H2

Кибермошенники создали поддельный сайт технической поддержки Microsoft, который предлагает пользователям «накопительное обновление» для Windows версии 24H2. На самом деле сайт распространяет вредоносную программу, предназначенную для кражи паролей и платежных данных.

Как сообщают специалисты компании Malwarebytes, фальшивая страница выглядит весьма убедительно: на ней указан номер статьи базы знаний (KB), а для загрузки предлагается файл «WindowsUpdate 1.0.0.msi» размером 83 МБ. Пакет создан с использованием легитимного инструмента WiX Toolset, а в его свойствах в качестве автора указана «Microsoft».

Опасность этого вредоносного ПО заключается в его способности обходить защиту. На момент анализа основные антивирусные движки на VirusTotal не обнаруживали угрозы. Это достигается за счет использования оболочки Electron, которая скрывает внутри вредоносный JavaScript-код. Антивирусы видят легитимный фреймворк и не углубляются в анализ скрытого содержимого.

Основной отличительный признак мошеннического сайта — его доменное имя «microsoft-update[.]support». Официальный ресурс поддержки Microsoft находится по адресу support.microsoft.com.

Специалисты по безопасности напоминают, что все обновления Windows следует загружать исключительно через встроенный центр обновлений в меню «Параметры» системы. Malwarebytes уже обновила свои детекторы для выявления этой угрозы.