Зловмисники та хакери все частіше використовують складні методи для проведення шкідливих атак на неуважних користувачів, особливо з появою генеративного ШІ. Які шанси, що ви потрапите в біду, намагаючись встановити оновлення Windows на свій пристрій?
Хоча здається, що це неможливо, це НЕ так. Повідомляється про фейкову сторінку підтримки Windows, розроблену для того, щоб обманювати неуважних користувачів, змушуючи їх завантажувати шкідливе програмне забезпечення на свої пристрої та отримувати доступ до їхніх конфіденційних даних шляхом викрадення паролів.
Шахрайський вебсайт виглядає як звичайне кумулятивне оновлення для Windows 11, версія 24H2, настільки добре, що може обходити виявлення як користувачами, так і засобами безпеки.
За даними Malwarebytes:
“Ми помітили кампанію на microsoft-update[.]support, домені з помилкою в назві, замаскованому під офіційну сторінку підтримки Microsoft. Сайт написаний повністю французькою мовою (але такі кампанії мають тенденцію швидко поширюватися) і представляє фейкове кумулятивне оновлення для Windows версії 24H2, з правдоподібним номером статті KB. Велика синя кнопка завантаження пропонує користувачам встановити оновлення.”
Що, можливо, більш тривожно, компанія з кібербезпеки зазначає, що майже неможливо відрізнити вебсайт від справжнього, і він потенційно може поставити під загрозу безпеку вашого ПК, оскільки властивості файлу ретельно підроблені.
Шкідливе програмне забезпечення упаковано як оновлення Windows і побудовано за допомогою WiX Toolset 4.0.0.5512, який Malwarebytes описує як “законний фреймворк інсталятора з відкритим вихідним кодом”.
Пакет розміром 83 МБ називається “WindowsUpdate 1.0.0.msi”, а поле “Автор” зручно містить “Microsoft”, тоді як назва поля читається як “Installation Database”. У полі коментарів стверджується, що він містить логіку та дані, необхідні для встановлення WindowsUpdate.
Шкідливе програмне забезпечення може навіть обійти антивірус, встановлений на вашому ПК з Windows 11.
“На момент аналізу VirusTotal показував нуль виявлень на 69 рушіях для основного виконуваного файлу та 62 для VBS-запускача. Жодні правила YARA не збіглися, а поведінкове оцінювання класифікувало діяльність як низький ризик. Це не провал жодного інструменту. Це бажаний результат архітектури шкідливого програмного забезпечення.”
Глибший аналіз пакета виявляє, що він приховує шкідливий код всередині оболонки Electron. Система безпеки вашого пристрою позначає зовнішній шар, який є законним фреймворком для багатьох додатків, але не заглиблюється достатньо, щоб виявити шкідливий скрипт, похований всередині.
Загальним правилом є те, що ви будете набагато безпечніші, перевіряючи та завантажуючи нові оновлення Windows з програми “Настройки” в Windows 11. Альтернативно, ви можете перейти до справжнього центру підтримки Microsoft, щоб вручну завантажити легітимні оновлення Windows з support.microsoft.com.
Приєднуйтесь до нас на Reddit за адресою r/WindowsCentral, щоб поділитися своїми думками та обговорити останні новини, огляди та багато іншого.
Кевін Окемова
Про автора
Кевін Окемова — досвідчений технічний журналіст з Найробі, Кенія, з великим досвідом висвітлення останніх тенденцій та розробок у галузі на Windows Central. Маючи пристрасть до інновацій та уважність до деталей, він писав для провідних видань, таких як OnMSFT, MakeUseOf та Windows Report, надаючи глибокий аналіз та останні новини про все, що стосується екосистеми Microsoft. Коли Кевін не зайнятий відстеженням новітніх трендів у технологіях, його можна знайти за дослідженням світу або прослуховуванням музики.
Що це означає для користувачів:
Користувачам Windows слід бути особливо обережними та уникати завантаження оновлень з неперевірених джерел. Завжди використовуйте офіційні канали Microsoft, такі як програма “Настройки” в Windows 11 або офіційний вебсайт підтримки Microsoft (support.microsoft.com), для отримання та встановлення оновлень операційної системи. Це допоможе захистити ваш пристрій від шкідливого програмного забезпечення та зберегти конфіденційність ваших даних.
За матеріалами: www.windowscentral.com