Підробний сайт підтримки Windows 11 пропонує “оновлення”, котре викрадає дані та уникає антивірусів

Компанія з кібербезпеки Malwarebytes виявила новий, складний тип шахрайства, спрямований на користувачів Windows 11. Шахраї створили фальшивий вебсайт, який маскується під офіційну технічну підтримку Microsoft, пропонуючи “сукупне оновлення” для Windows 11 24H2. Ця нова техніка обману викликає занепокоєння, оскільки вона використовує легітимні інструменти та приховує шкідливу логіку в обфускованому коді, що ускладнює виявлення традиційними антивірусними програмами.

Детальний аналіз загрози

Механізм дії фальшивого оновлення

Згідно з повідомленням Malwarebytes, фальшивий сайт технічної підтримки Windows виглядає цілком переконливо для необізнаного користувача. Він пропонує завантажити нібито важливе оновлення для новітньої версії операційної системи. Однак, при натисканні кнопки “Завантажити оновлення”, користувач насправді завантажує пакет розміром 83 МБ. Цей пакет містить шкідливе програмне забезпечення, здатне викрасти конфіденційні дані, такі як паролі, платіжні дані та доступ до облікових записів користувача.

Використання легітимних інструментів

Одним із ключових аспектів цієї атаки є використання шахраями легітимних інструментів для створення шкідливого пакету. Пакет був зібраний за допомогою WiX Toolset 4.0.0.5512, який Malwarebytes описує як “легітимний інсталятор з відкритим кодом”. Файл отримав назву WindowsUpdate 1.0.0.msi, а в полях “Автор” та “Назва” вказано “Microsoft” та “Installation Database” відповідно, що додає йому вигляду офіційного продукту. Коментар у файлі навіть містить фразу “логіку та дані, необхідні для встановлення WindowsUpdate”, що ще більше вводить в оману.

Складність виявлення шкідливого ПЗ

Прихованість шкідливої логіки

Malwarebytes наголошує на складності виявлення цього шкідливого програмного забезпечення. Навіть при аналізі на VirusTotal, основний виконуваний файл та лаунчер VBS не викликали підозр у більшості антивірусних рушіїв. Традиційні антивірусні інструменти не завжди здатні глибоко перевіряти обфускований JavaScript, в якому прихована шкідлива логіка. Корисне навантаження Python виконується під маскою звичайного процесу та завантажує компоненти під час виконання, що додатково ускладнює виявлення.

“Оболонка Electron – легітимний бінарний файл, який використовують мільйони програм. Шкідлива логіка прихована всередині обфускованого JavaScript, який традиційні антивірусні інструменти не перевіряють глибоко. Корисне навантаження Python виконується під оманливою назвою процесу та завантажує компоненти під час виконання з того, що здається звичайними джерелами. Окремо кожен елемент виглядає нешкідливим. Тільки якщо простежити повний ланцюжок, від запуску VBS до програми Electron, від перейменованого процесу Python до збору та вилучення даних, діяльність здається явно шкідливою”, – описує компанія складність виявлення шкідливого ПЗ.

Ознаки шахрайського сайту

Одним із ключових індикаторів шахрайського сайту є його URL-адреса. Вона містить рядок “microsoft-update.support”, тоді як справжня технічна підтримка Microsoft використовує адресу “support.microsoft.com”. Malwarebytes вже вжила заходів, додавши цю загрозу до бази свого сервісу виявлення шкідливого програмного забезпечення, що допоможе захистити користувачів від цієї нової схеми.