4月14日消息,网络安全公司 Malwarebytes 披露,一个高仿微软支持网站的钓鱼页面正在传播恶意 Windows 更新。攻击者注册易混淆域名并复制微软官方 UI 配色,伪造知识库编号诱导用户下载 83MB 的安装包。
该安装包采用 WiX Toolset 构建,部署了一个基于 Electron 的套壳 Chromium 浏览器应用,成功绕过数十款安全引擎检测。用户执行安装后,Visual Basic 脚本启动 Electron 应用并调用伪装的 Python 进程,安装多个数据窃取工具包,能提取浏览器存储的账号密码、Discord 令牌以及支付信息。
恶意程序为确保长期潜伏,在注册表中伪装成 Windows 安全组件并在启动项中伪装成 Spotify 快捷方式。值得注意的是,攻击者引用的 KB5034765 更新实为 2024 年 2 月发布的旧补丁。安全研究员建议用户从微软官方渠道获取更新。
