IT之家 4 月 14 日消息，網(wǎng)絡安全公司 Malwarebytes 最新披露指出，一個高仿微軟支持網(wǎng)站的釣魚頁面正在傳播惡意“Windows 更新”。

攻擊者注冊了易混淆域名，復制微軟官方 UI 配色，甚至偽造知識庫編號（KB），誘導用戶下載 83MB 的安裝包。

該攻擊主要針對法國用戶，恰逢法國政府宣布棄用 Windows 轉向 Linux，雖然兩者未必相關，但時間點頗為微妙。

為了讓惡意程序看起來更真實，攻擊者使用了正規(guī)開發(fā)工具混淆視聽，安裝包采用 WiX Toolset 構建，部署了一個基于 Electron 的應用本質上是套殼的 Chromium 瀏覽器。

這種分層手段成功繞過了殺毒軟件檢測，Malwarebytes 分析時，數(shù)十款安全引擎無一報毒。

用戶一旦執(zhí)行安裝，Visual Basic 腳本隨即啟動 Electron 應用，進而調用偽裝的 Python 進程。該進程安裝多個數(shù)據(jù)竊取工具包，能提取瀏覽器存儲的賬號密碼、Discord 令牌以及支付信息。

該惡意程序為了長期潛伏，確保系統(tǒng)重啟后仍能運行，在注冊表中偽裝成 Windows 安全組件，并在啟動項中偽裝成 Spotify 快捷方式。

值得警惕的是，攻擊者引用的 KB5034765 更新實為 2024 年 2 月發(fā)布的舊補丁，且針對的是 Windows 11 23H2 和 22H2 版本，并非頁面聲稱的 24H2。

廣告聲明：文內含有的對外跳轉鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結果僅供參考，IT之家所有文章均包含本聲明。