Se um web site solicitar que você instale manualmente uma “atualização do Home windows” a partir de um grande botão azul de obtain, feche essa guia imediatamente. O Malwarebytes acaba de detectar um web site falso de suporte da Microsoft (microsoft-update.assist) que finge oferecer uma atualização cumulativa para o Home windows 24H2, mas na verdade oferece malware para roubo de senhas.
A página inteira é decorada para parecer oficial e ainda usa referência adequada no estilo KB e baixa um arquivo MSI de 83 MB chamado Windowsupdate1.0.0.msi que parece bastante legítimo mesmo nas propriedades do arquivo.
O que o malware realmente faz
O web site está atualmente escrito em francês, o que sugere que o golpe tem como alvo primeiro os usuários que falam francês. Mas o Malwarebytes alerta que estas operações podem se espalhar rapidamente. O instalador em si foi construído com o WiX Toolset legítimo e seus metadados são falsificados para fazer com que pareça feito pela Microsoft. This helps it mix in each for customers and for some primary safety checks.
O MSI coloca um aplicativo baseado em Electron na pasta AppData do usuário e, em seguida, inicia componentes adicionais, incluindo um tempo de execução Python disfarçado. A partir daí, o malware extrai ferramentas e pacotes associados ao roubo de dados, como componentes usados para criptografia, inspeção de processos e acesso mais profundo ao Home windows. A empresa afirma que o código malicioso também tem como alvo o Discord, modificando seus arquivos para interceptar tokens de login, detalhes de pagamento e alterações de autenticação de dois fatores.
A Malwarebytes afirma que também tira impressões digitais das vítimas, verificando IP e geolocalização, contata a infraestrutura de comando e controle hospedada por Render e Cloudflare Employees e carrega dados roubados por meio de Gofile.
Por que você deve prestar atenção a este aviso
Um detalhe perturbador descoberto no relatório é que, no momento em que o Malwarebytes o analisou, o principal executável e inicializador não apresentava nenhuma detecção em dezenas de mecanismos antivírus no VirusTotal. A empresa diz que é porque o malware esconde sua lógica dentro de JavaScript ofuscado, componentes legítimos do Electron e ferramentas Python entregues em tempo de execução, em vez de um binário obviamente malicioso. Então, basicamente, não caia nesse falso web site de suporte do Home windows. Não está ajudando você a consertar seu PC. Ele está tentando roubá-lo.
