Win11 用户面临钓鱼威胁：83MB 的“24H2 更新”可窃取你的数据

IT之家 4 月 14 日消息，网络安全公司 Malwarebytes 最新披露指出，一个高仿微软支持网站的钓鱼页面正在传播恶意“Windows 更新”。攻击者注册了易混淆域名，复制微软官方 UI 配色，甚至伪造知识库编号（KB），诱导用户下载 83MB 的安装包。该攻击主要针对法国用户，恰逢法国政府宣布弃用 Windows 转向 Linux，虽然两者未必相关，但时间点颇为微妙。为了让恶意程序看起来更真实，攻击者使用了正规开发工具混淆视听，安装包采用 WiX Toolset 构建，部署了一个基于 Electron 的应用本质上是套壳的 Chromium 浏览器。这种分层手段成功绕过了杀毒软件检测，Malwarebytes 分析时，数十款安全引擎无一报毒。用户一旦执行安装，Visual Basic 脚本随即启动 Electron 应用，进而调用伪装的 Python 进程。该进程安装多个数据窃取工具包，能提取浏览器存储的账号密码、Discord 令牌以及支付信息。该恶意程序为了长期潜伏，确保系统重启后仍能运行，在注册表中伪装成 Windows 安全组件，并在启动项中伪装成 Spotify 快捷方式。值得警惕的是，攻击者引用的 KB5034765 更新实为 2024 年 2 月发布的旧补丁，且针对的是 Windows 11 23H2 和 22H2 版本，并非页面声称的 24H2。