Spoločnosť Malwarebytes, zameraná na kybernetickú bezpečnosť, odhalila sofistikovanú phishingovú kampaň, ktorá zneužíva dôveru používateľov v aktualizácie systému Windows. Útočníci vytvorili presvedčivú kópiu oficiálnej stránky podpory Microsoftu a šíria cez ňu škodlivý inštalačný súbor vydávajúci sa za kumulatívnu aktualizáciu Windows 11 24H2.
Malvér pritom pri analýze neodhalil ani jeden z desiatok bezpečnostných nástrojov (antivírusov). Potichu pritom začne kradnúť citlivé údaje de facto hneď po inštalácii. Na zákernú kampaň upozornil server Neowin.
Falošná stránka ako dokonalá imitácia
Celá kampaň stojí na jedinej, no účinnej podvodnej technike, takzvanom typosquattingu, teda registrácii domény veľmi podobnej na oficiálnu adresu. V tomto prípade ide o doménu „microsoft-update[.]support“, ktorá vizuálne napodobňuje skutočné stránky podpory Microsoftu, vrátane rozloženia, farebnej schémy aj loga spoločnosti.
Stránka obsahuje aj falošnú referenciu na znalostný článok s číslom KB a výrazné tlačidlo na stiahnutie aktualizácie. Toto všetko sú prvky, ktoré bežný používateľ považuje ako garanciu dôveryhodnosti.
Po kliknutí na tlačidlo sa stiahne súbor s názvom „WindowsUpdate 1.0.0.msi“ s veľkosťou 83 megabajtov. Na prvý pohľad pôsobí ako legitímny inštalačný balík. Pozornejší používatelia si môžu všimnúť jeden logický nesúlad: číslo balíka KB5034765, ktoré stránka uvádza, bolo v skutočnosti vydané pre staršie verzie Windows 11 (konkrétne 23H2 a 22H2) nie pre aktuálnu verziu.
Ako malvér funguje a prečo ho antivírus neodhalí
Zákernosť tohto malvéru spočíva v tom, že nevyužíva jednoduché škodlivé skripty, ale celú vrstvu legitímnych technológií. Inštalačný súbor je zostavený pomocou nástroja WiX Toolset, bežne využívaného frameworku na tvorbu Windows inštalátorov. Samotný spustiteľný súbor je pri analýze čistý. Preto ho žiadny zo skúmaných bezpečnostných nástrojov neoznačil ako hrozbu, píše Malwarebytes na svojom blogu.
Po spustení inštalátor aktivuje Visual Basic skript, ktorý naštartuje aplikáciu postavenú na frameworku Electron. V podstate ide o plnohodnotný prehliadač Chromium bežiaci na pozadí. Ten následne spustí zamaskovaný proces v jazyku Python, ktorý stiahne a nainštaluje viaceré knižnice bežne spojené s krádežou dát. Táto vrstvená architektúra zaisťuje, že každá jednotlivá časť reťazca pôsobí nevinne, no ich kombinácia tvorí plnohodnotný nástroj na špionáž.
Čo presne malvér kradne
Keď sa škodlivý softvér usadí v systéme, začne zbierať citlivé informácie. Podľa výskumu ide predovšetkým o heslá uložené v internetových prehliadačoch, prihlasovacie tokeny do platformy Discord a údaje súvisiace s platobnými metódami. Získané dáta sú odosielané útočníkom bez toho, aby o tom používateľ vedel.
Malvér je navyše navrhnutý tak, aby prežil reštarty počítača. Na zaistenie trvalého fungovania (tzv. perzistencie) využíva dva triky. Po prvé, zapíše sa do registrov systému Windows pod názvom, ktorý napodobňuje legitímnu bezpečnostnú súčasť systému. Po druhé, vytvorí zástupcu pri štarte systému zamaskovaného ako spúšťač aplikácie Spotify. Bežný používateľ si tieto záznamy pri kontrole buď nevšimne, alebo ich jednoducho nepovažuje za podozrivé.
Neprehliadnite
Hrozba je globálna
Kampaň sa podľa dostupných informácií zameriava predovšetkým na francúzskych používateľov, čo je zaujímavá zhoda okolností. Francúzska vláda totiž v tom istom období oznámila prechod od systému Windows na Linux, o čom sme vás podrobnejšie informovali v samostatnom článku na tomto odkaze.
Neowin poznamenal, že hoci spojenie oboch udalostí je pravdepodobne náhodné, nedá sa ho úplne prehliadnuť. V každom prípade platí, že podobné kampane bývajú adaptabilné a môžu byť kedykoľvek nasmerované na iné krajiny, vrátane Slovenska.
Typosquatting, na ktorom celý útok stojí, je pritom dobre známa a pomerne rozšírená technika. Útočníci registrujú domény, ktoré sa od originálu líšia len nepatrne, napríklad prehodenými písmenami, pridanou pomlčkou alebo inou príponou. Používatelia, ktorí adresu vpíšu ručne alebo kliknú na odkaz zo sociálnych sietí či e-mailov, sa ľahko ocitnú na podvodnej stránke bez akéhokoľvek podozrivého náznaku.
Ako sa chrániť
Ochrana pred týmto typom útoku nie je technicky zložitá, no vyžaduje si určité kroky. Aktualizácie systému Windows by mali byť vždy inštalované výhradne cez oficiálne nastavenia, konkrétne cez Nastavenia > Windows Update. Žiadna skutočná aktualizácia od Microsoftu sa nesťahuje z externej webovej stránky formou samostatného MSI súboru.
Akýkoľvek odkaz na stiahnutie aktualizácie systému Windows, ktorý príde e-mailom, cez sociálne siete alebo sa objaví ako výsledok vyhľadávania, treba považovať za potenciálne podozrivý.
Rovnako je vhodné venovať pozornosť adrese stránky v prehliadači. Legitímne stránky Microsoftu fungujú výlučne na doménach ako „microsoft.com“. Prítomnosť akéhokoľvek iného prídavku, ako napríklad „.support“ alebo „.info“, by mala byť okamžitým varovným signálom.
