Не насједајте на опасну превару: Један клик вас може коштати свих лозинки

Ако вам било који веб сајт затражи да ручно инсталирате "Windows update" кликом на велико плаво дугме за преузимање, одмах затворите ту картицу у прегледачу.

Компанија Malwarebytes управо је открила лажни Microsoftov сајт за подршку (microsoft-update.support) који се претвара да нуди кумулативно ажурирање за верзију "Windows 24H2", али заправо испоручује малвер за крађу лозинки.

Цела страница је дизајнирана тако да изгледа званично, чак користи и исправан формат референци (КБ стил) и преузима МСИ фајл од 83MB под називом "Windowsupdate1.0.0.msi", који дјелује прилично легитимно чак и у датотеци фајла.

Сајт је тренутно написан на француском језику, што сугерише да су прва мета преваре корисници са француског говорног подручја. Међутим, Malwarebytes упозорава да овакве операције могу брзо да се прошире. Сам фајл за инсталирање је направљен помоћу легитимног алата "WiX Toolset", а његови метаподаци су лажирани како би изгледало да их је направио "Microsoft". То му помаже да прође неопажено и код корисника и код неких основних безбједносних провјера.

Здравље

Мистериозна болест убила 5 људи: Имали су ове симптоме

МСИ фајл убацује апликацију засновану на Елецтрону у кориснички AppData фолдер, а затим покреће додатне компоненте, укључујући маскирани "Python". Одатле малвер повлачи алате и пакете повезане са крађом података, попут компоненти за енкрипцију, инспекцију процеса и дубљи приступ Windowsu. Из компаније наводе да злонамјерни код такође циља "Discord", мијењајући његове фајлове како би пресрео токене за пријаву, податке о плаћању и измене у двофакторској аутентификацији.

"Malwarebytes" наводи да малвер такође узима "отиске" жртава провјеравајући ИП адресу и геолокацију, контактира инфраструктуру за команду и контролу (Ц2) хостовану преко сервиса Рендер и Cloudflare Workers, и шаље украдене податке путем сервиса Гофиле.

Један узнемирујући детаљ откривен у извештају јесте да су у вријеме анализе главни извршни фајл и покретач имали нула детекција на десетинама антивирусних програма на сајту "Virus Total". Компанија објашњава да је то зато што малвер крије своју логику унутар замаскираног (обфускованог) "JavaScripta", легитимних Електрон компоненти и Python алата који се преузимају током рада, уместо да користи један очигледно злонамјерни бинарни фајл.

Дакле, укратко: не наседајте на овај лажни сајт за Windows подршку. Он вам не помаже да ажурирате рачунар, већ покушава да га опљачка, преноси Б92.