웹사이트에서 큰 파란색 다운로드 버튼을 통해 “Windows 업데이트”를 수동으로 설치하라는 메시지가 표시되면 즉시 해당 탭을 닫으세요. Malwarebytes는 Windows 24H2에 대한 누적 업데이트를 제공하는 것처럼 보이지만 실제로는 비밀번호 도용 악성 코드를 전달하는 가짜 Microsoft 지원 웹 사이트(microsoft-update.support)를 발견했습니다.
전체 페이지는 공식적으로 보이도록 꾸며졌으며 적절한 KB 스타일 참조를 사용하고 파일 속성에서도 상당히 합법적으로 보이는 Windowsupdate1.0.0.msi라는 83MB MSI 파일을 다운로드합니다.
악성코드가 실제로 하는 일

이 사이트는 현재 프랑스어로 작성되어 있으며, 이는 사기가 현재 프랑스어를 사용하는 사용자를 먼저 표적으로 삼고 있음을 시사합니다. 그러나 Malwarebytes는 이러한 작업이 빠르게 확산될 수 있다고 경고합니다. 설치 프로그램 자체는 합법적인 WiX 도구 세트로 구축되었으며 해당 메타데이터는 Microsoft에서 만든 것처럼 보이도록 스푸핑되었습니다. 이는 사용자와 일부 기본 보안 검사 모두에 조화를 이루는 데 도움이 됩니다.
MSI는 Electron 기반 앱을 사용자의 AppData 폴더에 놓은 다음 위장된 Python 런타임을 포함한 추가 구성 요소를 시작합니다. 그런 다음 악성 코드는 암호화, 프로세스 검사 및 심층적인 Windows 액세스에 사용되는 구성 요소와 같은 데이터 도난과 관련된 도구 및 패키지를 가져옵니다. 이 회사는 이 악성 코드가 로그인 토큰, 결제 세부 정보, 이중 인증 변경 사항을 가로채기 위해 파일을 수정하여 Discord를 표적으로 삼고 있다고 밝혔습니다.

Malwarebytes는 또한 IP와 지리적 위치를 확인하여 피해자의 지문을 채취하고, Render 및 Cloudflare Workers를 통해 호스팅되는 명령 및 제어 인프라에 접속하고, Gofile을 통해 훔친 데이터를 업로드한다고 밝혔습니다.
이 경고에 귀를 기울여야 하는 이유
보고서에서 밝혀진 불안한 세부 사항은 Malwarebytes가 이를 분석했을 때 VirusTotal의 수십 개의 바이러스 백신 엔진에서 기본 실행 파일과 실행 프로그램이 전혀 탐지되지 않은 것으로 나타났다는 것입니다. 회사는 악성 코드가 명백한 악성 바이너리 대신 난독화된 JavaScript, 합법적인 Electron 구성 요소 및 런타임 제공 Python 도구 내에 로직을 숨기기 때문이라고 말합니다. 따라서 기본적으로 이 가짜 Windows 지원 사이트에 속지 마십시오. 이는 PC 패치에 도움이 되지 않습니다. 그것을 빼앗으려고 하는 것입니다.