Создан поддельный сайт технической поддержки Microsoft, который не распознали 69 антивирусных движков

Злоумышленники запустили поддельный сайт технической поддержки Microsoft, на котором предлагается установить якобы критическое обновление версии 24H2. Фишинговая страница выглядит максимально правдоподобно: она копирует фирменный стиль компании и даже содержит номер статьи из базы знаний (KB), который не вызывает подозрений. В центре страницы размещена крупная кнопка, предлагающая скачать файл для «устранения ошибок системы».

Опасность заключается в том, что вредоносный файл замаскирован под официальный установщик обновлений. При проверке через VirusTotal он не вызвал подозрений — ни один из 69 антивирусных движков не обнаружил угрозу.

Более того, как встроенные средства защиты Windows, так и сторонние антивирусы определяют поведение файла как малорисковое. Это позволяет вредоносному ПО незаметно проникать в систему и запускаться без блокировок.

После установки программа активирует скрытый скрипт, предназначенный для сбора личной информации. Основной интерес злоумышленников представляют учетные данные: логины и пароли от банковских сервисов, социальных платформ и криптовалютных кошельков.

На данный момент большинство выявленных страниц оформлены на французском языке, однако специалисты предупреждают, что вскоре появятся версии на английском и других языках. Распространение кампании происходит через фишинговые письма и рекламные объявления.

Специалисты уже разрабатывают сигнатуры для обнаружения этой угрозы, однако до обновления антивирусных баз ключевым фактором защиты остается внимательность самих пользователей.