Malwarebytes 披露一个高仿微软支持网站的钓鱼页面,诱导用户下载 83MB 的“24H2 更新”安装包。攻击者注册混淆域名、仿真微软 UI 并伪造 KB 编号以提高可信度,使用 WiX Toolset 打包、基于 Electron 的 Chromium 套壳及混淆手段绕过检测。执行后由 VBScript 启动 Electron 并调用伪装的 Python 进程,安装多种数据窃取工具,能窃取浏览器储存的账号密码、Discord 令牌和支付信息;并通过在注册表和启动项中伪装为系统组件或 Spotify 快捷方式实现持久化。该活动主要针对法国用户,且引用的 KB5034765 实为 2024 年 2 月发布、适用于 Windows 11 23H2/22H2 的旧补丁,非页面所称的 24H2。
4 月 14 日消息,网络安全公司 Malwarebytes 最新披露指出,一个高仿微软支持网站的钓鱼页面正在传播恶意“Windows 更新”。
攻击者注册了易混淆域名,复制微软官方 UI 配色,甚至伪造知识库编号(KB),诱导用户下载 83MB 的安装包。
该攻击主要针对法国用户,恰逢法国政府宣布弃用 Windows 转向 Linux,虽然两者未必相关,但时间点颇为微妙。
为了让恶意程序看起来更真实,攻击者使用了正规开发工具混淆视听,安装包采用 WiX Toolset 构建,部署了一个基于 Electron 的应用本质上是套壳的 Chromium 浏览器。
这种分层手段成功绕过了杀毒软件检测,Malwarebytes 分析时,数十款安全引擎无一报毒。
用户一旦执行安装,Visual Basic 脚本随即启动 Electron 应用,进而调用伪装的 Python 进程。该进程安装多个数据窃取工具包,能提取浏览器存储的账号密码、Discord 令牌以及支付信息。
该恶意程序为了长期潜伏,确保系统重启后仍能运行,在注册表中伪装成 Windows 安全组件,并在启动项中伪装成 Spotify 快捷方式。
值得警惕的是,攻击者引用的 KB5034765 更新实为 2024 年 2 月发布的旧补丁,且针对的是 Windows 11 23H2 和 22H2 版本,并非页面声称的 24H2。