Se um site solicitar que você instale manualmente uma “atualização do Windows” a partir de um grande botão azul de download, feche essa guia imediatamente. O Malwarebytes acaba de detectar um site falso de suporte da Microsoft (microsoft-update.support) que finge oferecer uma atualização cumulativa para o Windows 24H2, mas na verdade oferece malware para roubo de senhas.
A página inteira é decorada para parecer oficial e ainda usa referência adequada no estilo KB e baixa um arquivo MSI de 83 MB chamado Windowsupdate1.0.0.msi que parece bastante legítimo mesmo nas propriedades do arquivo.
O que o malware realmente faz
O site está atualmente escrito em francês, o que sugere que o golpe tem como alvo primeiro os usuários que falam francês. Mas o Malwarebytes alerta que estas operações podem se espalhar rapidamente. O instalador em si foi construído com o WiX Toolset legítimo e seus metadados são falsificados para fazer com que pareça feito pela Microsoft. Isso ajuda a integração tanto para os usuários quanto para algumas verificações básicas de segurança.
O MSI coloca um aplicativo baseado em Electron na pasta AppData do usuário e, em seguida, inicia componentes adicionais, incluindo um tempo de execução Python disfarçado. A partir daí, o malware extrai ferramentas e pacotes associados ao roubo de dados, como componentes usados para criptografia, inspeção de processos e acesso mais profundo ao Windows. A empresa afirma que o código malicioso também tem como alvo o Discord, modificando seus arquivos para interceptar tokens de login, detalhes de pagamento e alterações de autenticação de dois fatores.
A Malwarebytes afirma que também tira impressões digitais das vítimas verificando IP e geolocalização, contata a infraestrutura de comando e controle hospedada por Render e Cloudflare Workers e carrega dados roubados por meio de Gofile.
Por que você deve prestar atenção a este aviso
Um detalhe perturbador descoberto no relatório é que, no momento em que o Malwarebytes o analisou, o principal executável e inicializador não apresentava nenhuma detecção em dezenas de mecanismos antivírus no VirusTotal. A empresa diz que é porque o malware esconde sua lógica dentro de JavaScript ofuscado, componentes legítimos do Electron e ferramentas Python entregues em tempo de execução, em vez de um binário obviamente malicioso. Então, basicamente, não caia nesse falso site de suporte do Windows. Não está ajudando você a consertar seu PC. Ele está tentando roubá-lo.
