Поддельный сайт поддержки Windows 11 распространяет вредоносное «обновление» для кражи данных

Компания Malwarebytes, специализирующаяся на кибербезопасности, предупреждает о появлении фальшивого сайта техподдержки Windows, который предлагает скачать «кумулятивное обновление» для Windows 11 24H2. Страница и файл выглядят правдоподобно и не вызывают мгновенных подозрений. Нажатие на кнопку «Скачать обновление» приводит к загрузке пакета размером 83 МБ, предназначенного для кражи паролей, платежных реквизитов и учетных записей пользователей.

Механизм обмана и структура файла

Вредоносный пакет был собран с использованием WiX Toolset версии 4.0.0.5512 — легитимного инструмента для создания установщиков с открытым исходным кодом. Файл под названием WindowsUpdate 1.0.0.msi содержит поддельные метаданные: в поле «Автор» указана корпорация Microsoft, а в качестве названия выбрано Installation Database. В комментариях к файлу указано, что он содержит «логику и данные, необходимые для установки WindowsUpdate», что вводит в заблуждение неопытных пользователей.

Методы обхода антивирусов и скрытая логика

Исследователи Malwarebytes отмечают исключительную скрытность данного ПО. На момент анализа сервис VirusTotal показал 0 срабатываний из 69 антивирусных движков для основного исполняемого файла и 0 из 62 для загрузчика VBS. Успех вредоноса кроется в его архитектуре: оболочка Electron, используемая миллионами программ, скрывает вредоносную логику в обфусцированном коде JavaScript, который антивирусы не проверяют глубоко. Дополнительно используется полезная нагрузка на языке Python, которая выполняется под поддельным именем процесса и подгружает компоненты из обычных источников прямо во время работы. Только отслеживание всей цепочки действий позволяет выявить кражу данных.

Злоумышленники используют домен microsoft-update.support, тогда как официальный сайт поддержки находится по адресу support.microsoft.com. Malwarebytes уже добавила данную угрозу в свою базу для автоматического обнаружения.