-1.png){kind=logo}
Злоумышленники запустили поддельный сайт технической поддержки Microsoft, на котором предлагается установить якобы критическое обновление версии 24H2. Фишинговая страница выглядит максимально правдоподобно: она копирует фирменный стиль компании и даже содержит номер статьи из базы знаний (KB), который не вызывает подозрений. В центре страницы размещена крупная кнопка, предлагающая скачать файл для «устранения ошибок системы».
Опасность заключается в том, что вредоносный файл замаскирован под официальный установщик обновлений. При проверке через VirusTotal он не вызвал подозрений — ни один из 69 антивирусных движков не обнаружил угрозу.
Более того, как встроенные средства защиты Windows, так и сторонние антивирусы определяют поведение файла как малорисковое. Это позволяет вредоносному ПО незаметно проникать в систему и запускаться без блокировок.
После установки программа активирует скрытый скрипт, предназначенный для сбора личной информации. Основной интерес злоумышленников представляют учетные данные: логины и пароли от банковских сервисов, социальных платформ и криптовалютных кошельков.
На данный момент большинство выявленных страниц оформлены на французском языке, однако специалисты предупреждают, что вскоре появятся версии на английском и других языках. Распространение кампании происходит через фишинговые письма и рекламные объявления.
Специалисты уже разрабатывают сигнатуры для обнаружения этой угрозы, однако до обновления антивирусных баз ключевым фактором защиты остается внимательность самих пользователей.
Источник: windowscentral
