IT之家 4 月 14 日消息，網(wǎng)絡(luò)安全公司 Malwarebytes 最新披露指出，一個(gè)高仿微軟支持網(wǎng)站的釣魚頁面正在傳播惡意“Windows 更新”。

攻擊者注冊(cè)了易混淆域名，復(fù)制微軟官方 UI 配色，甚至偽造知識(shí)庫編號(hào)（KB），誘導(dǎo)用戶下載 83MB 的安裝包。

該攻擊主要針對(duì)法國用戶，恰逢法國政府宣布棄用 Windows 轉(zhuǎn)向 Linux，雖然兩者未必相關(guān)，但時(shí)間點(diǎn)頗為微妙。

為了讓惡意程序看起來更真實(shí)，攻擊者使用了正規(guī)開發(fā)工具混淆視聽，安裝包采用 WiX Toolset 構(gòu)建，部署了一個(gè)基于 Electron 的應(yīng)用本質(zhì)上是套殼的 Chromium 瀏覽器。

這種分層手段成功繞過了殺毒軟件檢測(cè)，Malwarebytes 分析時(shí)，數(shù)十款安全引擎無一報(bào)毒。

用戶一旦執(zhí)行安裝，Visual Basic 腳本隨即啟動(dòng) Electron 應(yīng)用，進(jìn)而調(diào)用偽裝的 Python 進(jìn)程。該進(jìn)程安裝多個(gè)數(shù)據(jù)竊取工具包，能提取瀏覽器存儲(chǔ)的賬號(hào)密碼、Discord 令牌以及支付信息。

該惡意程序?yàn)榱碎L期潛伏，確保系統(tǒng)重啟后仍能運(yùn)行，在注冊(cè)表中偽裝成 Windows 安全組件，并在啟動(dòng)項(xiàng)中偽裝成 Spotify 快捷方式。

值得警惕的是，攻擊者引用的 KB5034765 更新實(shí)為 2024 年 2 月發(fā)布的舊補(bǔ)丁，且針對(duì)的是 Windows 11 23H2 和 22H2 版本，并非頁面聲稱的 24H2。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。