Falešná aktualizace Windows krade hesla, antiviry ji nevidí
Nová malwarová kampaň maskovaná za aktualizaci Windows 11 úspěšně obchází antiviry. Cílí na hesla a přístupové údaje, ohrožuje i uživatele sítě Discord.
Útočníci přesměrovávají oběti na podvodný web napodobující službu Windows Update, kde nabízí falešnou kritickou záplatu pro Windows 11 24H2. Soubor se stahuje jako instalační balíček „WindowsUpdate 1.0.0.msi“.
Instalátor je zkompilován pomocí legitimního nástroje WiX Toolset, díky čemuž působí důvěryhodně. Po spuštění zavede aplikaci na bázi frameworku Electron s maskovaným kódem v JavaScriptu, Visual Basicu a Pythonu. Kvůli této víceúrovňové propracovanosti nedetekoval hrozbu při prvotní analýze žádný z předních antivirových programů.
Malware funguje jako takzvaný infostealer a nese dvě hlavní zátěže. První extrahuje systémová hesla, platební data a přihlašovací údaje. Druhá část se zaměřuje výhradně na komunikační program Discord. Jelikož i ten využívá architekturu Electron, škodlivý kód ho dokáže upravit tak, aby při každém spuštění odesílal útočníkům přihlašovací a dvoufázové (2FA) tokeny.
Pro trvalé usídlení v systému upravuje malware registry Windows a do složky „Po spuštění“ vloží maskovaného zástupce pod názvem „Spotify.lnk“. Zabezpečené spojení s řídícím serverem pak slouží k odesílání odcizených dat.
Kampaň se aktuálně soustředí na francouzsky mluvící uživatele, lze ji však snadno přizpůsobit pro další regiony. Odborníci doporučují stahovat systémové aktualizace výhradně přes vestavěné rozhraní v Nastavení Windows, případně z oficiálního katalogu Microsoft Update.
