Não caia nesse golpe do site falso de suporte para atualizações do Windows. Ele está disseminando um malware que rouba senhas.

gurinho

Se um site lhe pedir para instalar manualmente uma " atualização do Windows " através de um grande botão azul de download, feche essa aba imediatamente. A Malwarebytes acaba de detectar um site falso de suporte da Microsoft (microsoft-update.support) que finge oferecer uma atualização cumulativa para o Windows 24H2, mas na verdade distribui malware para roubo de senhas.

Toda a página foi formatada para parecer oficial, utilizando inclusive referências no estilo da Base de Conhecimento e baixando um arquivo MSI de 83 MB chamado Windowsupdate1.0.0.msi, que parece bastante legítimo, mesmo nas propriedades do arquivo.

O que o malware realmente faz

O logotipo da Malwarebytes sobre um fundo branco.
Malwarebytes

O site está atualmente escrito em francês, o que sugere que o golpe está visando primeiro usuários francófonos. No entanto, a Malwarebytes alerta que essas operações podem se espalhar rapidamente. O instalador em si foi criado com o legítimo WiX Toolset e seus metadados foram falsificados para parecer que foi desenvolvido pela Microsoft. Isso ajuda a disfarçar o golpe tanto para os usuários quanto para algumas verificações básicas de segurança.

O MSI instala um aplicativo baseado em Electron na pasta AppData do usuário e, em seguida, executa componentes adicionais, incluindo um ambiente de execução Python disfarçado. A partir daí, o malware extrai ferramentas e pacotes associados ao roubo de dados, como componentes usados ​​para criptografia, inspeção de processos e acesso mais profundo ao Windows. A empresa afirma que o código malicioso também tem como alvo o Discord , modificando seus arquivos para interceptar tokens de login, detalhes de pagamento e alterações na autenticação de dois fatores.

malwarebytes laptop
Malwarebytes

A Malwarebytes afirma que também identifica as vítimas verificando o endereço IP e a geolocalização, contata a infraestrutura de comando e controle hospedada por meio do Render e do Cloudflare Workers e carrega os dados roubados através do Gofile.

Por que você deve dar atenção a este aviso

Um detalhe perturbador revelado no relatório é que, no momento da análise da Malwarebytes, o executável principal e o inicializador não foram detectados por dezenas de mecanismos antivírus no VirusTotal. A empresa afirma que isso ocorre porque o malware oculta sua lógica em JavaScript ofuscado, componentes legítimos do Electron e ferramentas Python distribuídas em tempo de execução, em vez de um único binário obviamente malicioso. Portanto, basicamente, não caia nesse golpe do falso site de suporte do Windows. Ele não está ajudando você a corrigir seu PC. Está tentando roubá-lo.