Korisnici Windows operativnog sistema trebaju biti izuzetno oprezni prilikom preuzimanja navodnih ažuriranja sa interneta. Kompanija Malwarebytes otkrila je sofisticiranu prevaru koja se predstavlja kao zvanični Microsoftov sajt za podršku, a zapravo distribuira zlonamerni softver dizajniran za krađu lozinki i osjetljivih podataka.

Lažna stranica i opasni sadržaj

Prevarantski sajt, pod domenom microsoft-update.support, potpuno je oponašao izgled i funkcionalnost Microsoftove službene platforme. Nudio je kumulativno ažuriranje za Windows 24H2, sa velikim plavim dugmetom za preuzimanje. Fajl koji se skida, pod nazivom “Windowsupdate1.0.0.msi” i veličine od 83 MB, na prvi pogled je izgledao legitimno, čak i sa ispravno formatiranim referencama u KB stilu. Sajt je inicijalno bio na francuskom jeziku, što ukazuje da su prvobitna meta bili korisnici iz tog govornog područja, ali stručnjaci upozoravaju da se takve kampanje brzo šire.

Instalacioni paket je kreiran pomoću legitimnog alata WiX Toolset, a njegovi metapodaci su lažirani kako bi izgledalo da potiču od Microsofta. Ova tehnika omogućava malveru da prođe neopaženo kako kod običnih korisnika, tako i kod nekih osnovnih bezbjednosnih skeniranja.

Kako malver radi i šta krade

Nakon instalacije, MSI fajl postavlja aplikaciju zasnovanu na Electronu u korisnički AppData folder i pokreće niz dodatnih komponenti, uključujući maskirani Python runtime. Zlonamerni kod zatim preuzima alate i pakete specijalizovane za krađu podataka, kao što su komponente za enkripciju, inspekciju procesa i dublji pristup Windows sistemu.

Prema analizi Malwarebytes-a, malver aktivno cilja aplikaciju Discord, modificirajući njene fajlove kako bi presretao tokene za prijavu, podatke o plaćanju i informacije vezane za dvofaktorsku autentifikaciju. također, prikuplja “otiske” žrtava provjeravajući njihovu IP adresu i geolokaciju, a ukradene podatke šalje putem servisa Gofile, kontaktirajući infrastrukturu za komandu i kontrolu (C2) hostovanu preko Render i Cloudflare Workers servisa.

Jedan od najzabrinjavajućih detalja je da su, u vrijeme analize, glavni izvršni fajl i pokretač imali nula detekcija na desetinama antivirusnih programa na platformi VirusTotal. Ovo se objašnjava time što malver krije svoju zlonamernu logiku unutar zamaskiranog JavaScripta, legitimnih Electron komponenti i Python alata koji se dinamički preuzimaju tokom izvršavanja, umjesto da koristi jedan, lako prepoznatljiv, zlonamerni binarni fajl.

Poruka za korisnike je jasna: nikada ne preuzimajte ažuriranja operativnog sistema sa sumnjivih ili nezvaničnih sajtova. Zvanična ažuriranja za Windows uvijek dolaze putem integrisanog Windows Update servisa ili sa Microsoftovog zvaničnog veb sajta.