Ne nasjedajte na opasnu prevaru: Jedan klik vas može koštati svih lozinki

Ako vam bilo koji veb sajt zatraži da ručno instalirate "Windows update" klikom na veliko plavo dugme za preuzimanje, odmah zatvorite tu karticu u pregledaču.

Kompanija Malwarebytes upravo je otkrila lažni Microsoftov sajt za podršku (microsoft-update.support) koji se pretvara da nudi kumulativno ažuriranje za verziju "Windows 24H2", ali zapravo isporučuje malver za krađu lozinki.

Cela stranica je dizajnirana tako da izgleda zvanično, čak koristi i ispravan format referenci (KB stil) i preuzima MSI fajl od 83MB pod nazivom "Windowsupdate1.0.0.msi", koji djeluje prilično legitimno čak i u datoteci fajla.

Sajt je trenutno napisan na francuskom jeziku, što sugeriše da su prva meta prevare korisnici sa francuskog govornog područja. Međutim, Malwarebytes upozorava da ovakve operacije mogu brzo da se prošire. Sam fajl za instaliranje je napravljen pomoću legitimnog alata "WiX Toolset", a njegovi metapodaci su lažirani kako bi izgledalo da ih je napravio "Microsoft". To mu pomaže da prođe neopaženo i kod korisnika i kod nekih osnovnih bezbjednosnih provjera.

Zdravlje

Misteriozna bolest ubila 5 ljudi: Imali su ove simptome

MSI fajl ubacuje aplikaciju zasnovanu na Electronu u korisnički AppData folder, a zatim pokreće dodatne komponente, uključujući maskirani "Python". Odatle malver povlači alate i pakete povezane sa krađom podataka, poput komponenti za enkripciju, inspekciju procesa i dublji pristup Windowsu. Iz kompanije navode da zlonamjerni kod takođe cilja "Discord", mijenjajući njegove fajlove kako bi presreo tokene za prijavu, podatke o plaćanju i izmene u dvofaktorskoj autentifikaciji.

"Malwarebytes" navodi da malver takođe uzima "otiske" žrtava provjeravajući IP adresu i geolokaciju, kontaktira infrastrukturu za komandu i kontrolu (C2) hostovanu preko servisa Render i Cloudflare Workers, i šalje ukradene podatke putem servisa Gofile.

Jedan uznemirujući detalj otkriven u izveštaju jeste da su u vrijeme analize glavni izvršni fajl i pokretač imali nula detekcija na desetinama antivirusnih programa na sajtu "Virus Total". Kompanija objašnjava da je to zato što malver krije svoju logiku unutar zamaskiranog (obfuskovanog) "JavaScripta", legitimnih Elektron komponenti i Python alata koji se preuzimaju tokom rada, umesto da koristi jedan očigledno zlonamjerni binarni fajl.

Dakle, ukratko: ne nasedajte na ovaj lažni sajt za Windows podršku. On vam ne pomaže da ažurirate računar, već pokušava da ga opljačka, prenosi B92.