4 月 14 日消息,网络安全公司 Malwarebytes 最新披露指出,一个高仿微软支持网站的钓鱼页面正在传播恶意“Windows 更新”。
攻击者注册了易混淆域名,复制微软官方 UI 配色,甚至伪造知识库编号(KB),诱导用户下载 83MB 的安装包。
该攻击主要针对法国用户,恰逢法国政府宣布弃用 Windows 转向 Linux,虽然两者未必相关,但时间点颇为微妙。
为了让恶意程序看起来更真实,攻击者使用了正规开发工具混淆视听,安装包采用 WiX Toolset 构建,部署了一个基于 Electron 的应用本质上是套壳的 Chromium 浏览器。
这种分层手段成功绕过了杀毒软件检测,Malwarebytes 分析时,数十款安全引擎无一报毒。
用户一旦执行安装,Visual Basic 脚本随即启动 Electron 应用,进而调用伪装的 Python 进程。该进程安装多个数据窃取工具包,能提取浏览器存储的账号密码、Discord 令牌以及支付信息。
该恶意程序为了长期潜伏,确保系统重启后仍能运行,在注册表中伪装成 Windows 安全组件,并在启动项中伪装成 Spotify 快捷方式。
值得警惕的是,攻击者引用的 KB5034765 更新实为 2024 年 2 月发布的旧补丁,且针对的是 Windows 11 23H2 和 22H2 版本,并非页面声称的 24H2。
