Ļaunprogrammatūra, kas maskējas kā Windows 11 24H2 atjauninājums

Ja izmantojat operētājsistēmu Windows 11, jums ļoti nopietni jāuztver tas, kas notiek ar it kā esošo 24 stundu kumulatīvais atjauninājums kas cirkulē tiešsaistē. Šī nav tikai vienkārša, vienreizēja kļūme vai kaitinoša kļūda; tā ir ļaunprātīgas programmatūras kampaņa, kas rūpīgi izstrādāta, lai maskētos par oficiālu Microsoft ielāpu un ielavītos jūsu datorā, nevienam to nepamanot.

Jaunākajās Windows versijās esam pieraduši dzirdēt par ievainojamības, drošības trūkumi un instalēšanas kļūdasKibernoziedznieki to zina un izmanto neuzticības klimatu, lai izveidotu tīmekļa vietnes, kas ir gandrīz identiskas oficiālajām Microsoft atbalsta lapām. Šajā gadījumā ļaunprātīga tīmekļa vietne piedāvā viltotu Windows 11 24H2 atjauninājumu, kas faktiski instalē paroļu un bankas datu zagli, ko ir ļoti grūti atklāt pat ar labāko pretvīrusu programmatūru.

Kas ir šī ļaunprogrammatūra, kas maskējas kā Windows 11 24H2 atjauninājums?

Kiberdrošības uzņēmums ir detalizēti analizējis kampaņu. Malwarebyteskas ir atklājusi krāpniecisku vietni, kas maskēta kā Microsoft atbalsta portāls. Visbiežāk analīzēs minētā domēna ir microsoft-update.support, adrese, kas no pirmā acu uzmetiena var apmānīt ikvienu, kurš nepamana, ka tā nebeidzas ar microsoft.com.

Šajā lapā uzbrucēji reklamē it kā kumulatīvais atjauninājums operētājsistēmai Windows 11 24H2Tajos ir iekļautas atsauces uz zināšanu bāzes (KB) rakstiem, izlaiduma piezīmes par veiktspējas uzlabojumiem, kodola ielāpiem, izvēlnes Sākt optimizācijām un drošības labojumiem. Tas viss ir veidots ar dizainu un rakstīšanas stilu, kas ļoti atgādina oficiālo vietni.

Galvenais āķis ir liela zila poga, kas aicina lejupielādēt failu, kas identificēts kā WindowsUpdate1.0.0.msi vai ļoti līdzīgs, ar aptuveno izmēru 83 MB. No pirmā acu uzmetiena izmērs, nosaukums un faila paplašinājums lieliski atbilst tam, ko mēs sagaidām no likumīga Windows instalētāja.

Lai pastiprinātu maldināšanu, instalētājs ir izveidots ar WiX rīku kopaŠis ir pilnīgi likumīgs rīku komplekts MSI pakotņu ģenerēšanai operētājsistēmā Windows. Turklāt kibernoziedznieki ir manipulējuši ar metadatiem tā, lai faila rekvizītos kā izstrādātājs tiktu norādīts Microsoft un tiktu parādīts apraksts, kas atbilst operētājsistēmas atjauninājumam.

Visiem šiem centieniem ir viens ļoti skaidrs mērķis: panākt, lai MSI fails izskatītos pilnīgi likumīgi gan lietotājam, gan pamata drošības pārbaudēmCietušais uzskata, ka viņš lieto svarīgu Windows 11 ielāpu, lai gan patiesībā viņš plaši atver durvis ļaunprogrammatūrai, kas specializējas sensitīvas informācijas zādzībā.

Kā tiek instalēta ļaunprogrammatūra un ko tā dara jūsu datorā

Kad lietotājs lejupielādē un palaiž paredzēto 24H2 atjauninājumu instalētāju, tiek uzsākta klusu darbību ķēde. Drošības ielāpu vietā MSI izvieto Elektronu lietojumprogramma mapes iekšpusē AppData no lietotāja profila, kas ir izplatīta likumīgu programmu atrašanās vieta, kas vēl vairāk mazina aizdomas.

Šī Electron lietojumprogramma neparādās viena pati: instalētājs palaiž papildu komponentus un izvieto rīki un pakotnes, kas paredzētas datu zādzībāmTie ietver ļoti apmulsinātus JavaScript skriptus un moduļi Python valodā gatavs izpildīt izpildlaika lietderīgās slodzes, atbrīvot papildu resursus un sazināties ar uzbrucēju infrastruktūru.

Ļaunprātīgās programmatūras pirmais solis, tiklīdz tā tiek palaista, ir iegūt publiska IP adrese un aptuvenā ģeogrāfiskā atrašanās vieta no inficētās ierīces. Ar šiem datiem kibernoziedznieki zina, no kuras valsts un daudzos gadījumos no kura konkrētā reģiona notiek infekcija, kas ļauj viņiem pielāgot kampaņu dažādiem ģeogrāfiskiem kontekstiem.

Pēc tam tiek apkopota ierīcē saglabātā informācija: pārlūkprogrammās saglabātās parolessesijas sīkfaili, piekļuves žetoni, bankas dati un tiešsaistes pakalpojumu akreditācijas dati. Ziņojumos īpaši minēta ļaunprogrammatūras spēja modificēt uz Electron balstītas lietojumprogrammas, piemēram, Neatbilstībapārtverot autentifikācijas žetonus, paroles izmaiņas un pat ar kontu saistīto maksājumu informāciju.

Datu zādzība neaprobežojas tikai ar pārlūkprogrammu vai Discord. Ļaunprogrammatūra var piekļūt vairākiem sistēmas datu avotiem un pakot visu nozagto saturu. Dažos gadījumos eksfiltrācija tiek veikta, izmantojot šķietami likumīgus pakalpojumus, piemēram, GoFilecaur kuru dati tiek augšupielādēti ārējos serveros. Komandvadības un kontroles infrastruktūra ir mitināta tādās platformās kā Renderēšanas un mākoņu uzliesmošanas darbiniekipadarot vēl grūtāk izsekot un bloķēt ļaunprātīgu datplūsmu.

Ļoti slepens uzbrukums, gandrīz neredzams pretvīrusu programmatūrai.

Viens no aspektiem, kas visvairāk satraucis ekspertus, ir tas, ka Malwarebytes veikto testu laikā, neviens no 69 analizētajiem pretvīrusu dzinējiem Fails tika atpazīts kā ļaunprātīgs. Tā nav vienkārša nepareiza konfigurācija: tā ir tieša uzbrukuma arhitektūras un ļaunprātīgās loģikas slēpšanas veida sekas.

Sākotnējais izpildāmais fails — MSI un saistītais binārais fails — tiek uzskatīti par tīri faili No klasiskā pretvīrusu viedokļa tie ir veidoti, izmantojot parastus izstrādes rīkus, piemēram, WiX Toolset, attēlo šķietami likumīgus Microsoft metadatus un savā binārajā kodā tieši nesatur zināmus ļaunprogrammatūras parakstus.

Patiesi bīstamā daļa slēpjas iekšā JavaScript kods, kas iekapsulēts Electron lietojumprogrammāŠeit slēpjas datu zādzības, informācijas šifrēšanas un saziņas ar komandu un kontroles serveriem loģika. Turklāt šis JavaScript kods ir ļoti neskaidrs, kas sarežģī tā analīzi un neļauj daudzām pretvīrusu programmām iedziļināties pietiekami dziļi, lai atklātu, kas patiesībā notiek.

Tam visam tiek pievienota lietderīgā slodze Pitons Tas darbojas ar pilnīgi normāliem procesu nosaukumiem, izpildes laikā lejupielādējot papildu komponentus no vietām, kas principā neradītu nekādas aizdomas. Katra uzbrukuma daļa, analizēta atsevišķi, šķiet nekaitīga, taču kopā tās veido ļoti sarežģītu datu zādzības operāciju.

Pētnieki uzstāj, ka problēma nav tik daudz pretvīrusu programmatūras kļūmē, bet gan uzbrukuma mērķtiecībā. izmantot tradicionālo analīžu ierobežojumusDaudzi dzinēji koncentrējas uz galveno bināro failu un neiedziļinās Electron pakotņu saturā, iekšējos JavaScript skriptos vai ķēdes attiecībās starp VBS, Python un citiem palīgkomponentiem.

Noturības mehānismi: kā tas nodrošina tā aktivitāti

Lai uzbrukums būtu ienesīgs, kibernoziedzniekiem ir nepieciešams, lai ļaunprogrammatūra turpinātos pēc pirmās sistēmas restartēšanas. Tāpēc kodā ir iekļauti vairāki noturības mehānismi ļoti labi nomaskēts pašā operētājsistēmā.

Viens no pārsteidzošākajiem trikiem ir modifikācija Windows reģistrs lai izveidotu ierakstu ar nosaukumu "DrošībaVeselība"Šis nosaukums atbilst likumīgu komponentu nosaukumam, kas saistīti ar Windows drošības paziņojumiem, tāpēc no pirmā acu uzmetiena tas šķiet sistēmas pakalpojums un nerada aizdomas lietotājiem, kuri pārbauda reģistru vai pamata diagnostikas rīkus.

Turklāt ļaunprogrammatūra ģenerē saīsne ar nosaukumu "Spotify.lnk" lietotāja startēšanas mapē. Tādā veidā katru reizi, kad dators tiek startēts, šī šķietami nevainīgā saīsne palaiž ļaunprātīgo programmatūru, kas pēc tam restartējas bez jebkādas lietotāja iejaukšanās.

Šī divējāda sistēma — reģistra ieraksts un slēpta saīsne — samazina iespējamību, ka vienkārša restartēšana vai saistītās programmas atinstalēšana novērsīs apdraudējumu. Ja neviens nepamana šos elementus, ļaunprogrammatūra var palikt aktīvam nedēļām vai mēnešiem ilgiinformācijas vākšana un nosūtīšana, cietušajam nepamanot neko neparastu.

Pie visa tā jāpieskaita fakts, ka galvenais fails, šķiet, ir kumulatīvā atjauninājuma instalētājs Pilnīgi normāli. Ja lietotājs neatceras, ka būtu instalējis neko neparastu, vai nepievērš uzmanību saīsnēm un startēšanas vienumiem, visticamāk, viņš pat nesaistīs potenciālās drošības problēmas ar šo it kā Windows atjauninājumu.

Kampaņas darbības joma un citu saistītu lietu konteksts

Sākotnējie ziņojumi liecina, ka krāpnieciskā tīmekļa vietne un liela daļa kampaņas sākotnēji tika novērota FrancijaLapa ir pieejama franču valodā un ir īpaši pielāgota lietotājiem šajā valstī, kas liecina par mērķtiecīgu kampaņu. Tomēr gan Malwarebytes, gan citi eksperti piekrīt, ka risks ir globāls un ka darbība var ātri paplašināties uz citām valodām un reģioniem.

Šāda veida uzbrukumi zeļ iepriekšējās datu noplūdes un uzvedības modeļi lietotāju. Kad uzbrukuma modelis darbojas vienā valstī, to ir samērā viegli atkārtot ar citiem tulkojumiem, līdzīgām domēnām un saturu, kas pielāgots dažādām kopienām, vienlaikus saglabājot to pašu pamatloģiku.

Vienlaikus šo kampaņu nevajadzētu jaukt ar Windows 11 24H2 ISO attēlu likumīgu izmantošanu. Microsoft atbalsta forumos ir novēroti gadījumi, kad lietotāji lejupielādēja vienu no tiem. Oficiālā Windows 11 24H2 ISO versija 26100.863 no Microsoft kanāliem un pēc tam ziņo par trešo pušu rīku dīvainu uzvedību, piemēram, spontānu aizvēršanos, veicot ievainojamību skenēšanu ar BitDefender vai ESET.

Šādos gadījumos Microsoft atbalsta speciālisti precizē, ka, ja ISO fails tika iegūts no oficiālā kanāla.Tajā nav ļaunprogrammatūras vai ļaunprātīga satura. Problēmas parasti rodas šādu iemeslu dēļ: nesaderība starp jaunizveidoto sistēmu un noteiktām drošības programmām, vai arī pašas programmatūras kļūmēm, nevis infekcijām, kas saistītas ar šo konkrēto kampaņu.

Galvenā atšķirība slēpjas izcelsmē: lai gan krāpnieciskais atjauninājums nāk no ārēja vietne, kas atdarina MicrosoftOriģinālie ISO attēli un oficiālie atjauninājumi vienmēr tiek piegādāti, izmantojot Windows Update vai Microsoft lejupielāžu katalogu microsoft.com domēnā.

Kāpēc šāda veida viltoti atjauninājumi darbojas tik labi?

Šīs kampaņas panākumi nav nejauši. No vienas puses, Windows ir reputācija, ka biežas drošības nepilnības, problemātiski atjauninājumi un izmantojamas ievainojamībasNo otras puses, vairums lietotāju neiedziļinās instalētā satura tehniskajās detaļās, it īpaši, ja saturs šķiet nākis no uzticama zīmola, piemēram, Microsoft.

Uzbrucēji apvieno vairākus psiholoģiskus elementus: bailes no drošības ielāpu beigām, spiedienu uzturēt sistēmu atjauninātu un akla uzticēšanās vietnes vizuālajam izskatamJa vietne izskatās oficiāla, parāda zināšanu bāzes numuru un piedāvā lejupielādi ar ticamu nosaukumu, daudzi cilvēki nolaižas un noklikšķina.

Palīdz arī tas, ka piezīmēs par paredzēto atjauninājumu ir iekļauts Sākuma izvēlnes veiktspējas uzlabojumi, kodola labojumi un dažādas optimizācijasŠie ir biežāk sastopamie iemesli, kāpēc lietotājs pieņemtu jauno Windows 11 versiju: ​​solījumi par lielāku stabilitāti, lielāku drošību un vienmērīgāku sistēmas darbību.

Turklāt MSI failam ir pieņemams izmērs (aptuveni 83 MB), nosaukums atbilst Windows atjauninājumu instalētājam un iekšējās īpašības, kas norāda, ka tas ir Microsoft produkts. Daudzi lietotāji neiet tālāk par šo sākotnējo virspusējo pārbaudi, ja vispār apgrūtina sevi, atstājot kampaņai milzīgu manevrēšanas brīvību.

Visbeidzot, fakts, ka pretvīrusu programmatūra neaktivizē un neizdod spēcīgus brīdinājumus, pastiprina maldīgu drošības sajūtu. Ja dators nebrīdina par neko neparastu, upuris mēdz domāt, ka instalēšana ir bijusi veiksmīga un viss ir kārtībā, lai gan patiesībā ļaunprogrammatūra jau ir sākusi darboties fonā.

Kā pasargāt sevi no viltotiem Windows 11 atjauninājumiem

Labākā aizsardzība pret šāda veida slazdiem ir virknes pasākumu ieviešana ļoti vienkāršas labas praksesTaču ir svarīgi tos ievērot precīzi. Pirmais un vissvarīgākais: Nekad nelejupielādējiet Windows atjauninājumus no ārējām saitēm saņemts pa pastu, sociālajos tīklos, privātās ziņās vai trešo pušu tīmekļa vietnēs.

Microsoft izplata savus ielāpus divos galvenajos veidos: izmantojot iebūvēto rīku Windows Update sistēmas konfigurācijas ietvaros un, sarežģītākās vidēs, izmantojot Oficiālais Microsoft atjauninājumu katalogs tīmeklī. Jebkurš Windows 11 atjauninājums, kas netiek piegādāts, izmantojot vienu no šiem diviem kanāliem, jāuzskata par aizdomīgu.

Ja vēlaties pats pārbaudīt, vai jūsu aprīkojums ir atjaunināts, vienkārši atveriet Konfigurējot WindowsLai piekļūtu Windows atjaunināšanai, dodieties uz sadaļu “Windows atjaunināšana” un noklikšķiniet uz “Pārbaudīt atjauninājumus”. Ja ir pieejama jauna versija vai svarīgs ielāps, sistēma to automātiski parādīs un lejupielādēs, nepiekļūstot trešo pušu vietnēm vai neapstrādājot MSI failus.

Ir arī svarīgi vienmēr pārbaudīt Ar Microsoft saistītu lapu URLDomēnam jābeidzas ar "microsoft.com"; jebkādas variācijas, piemēram, gari nosaukumi, dīvainas defises vai neparasti paplašinājumi, rada aizdomas. Domēni, piemēram, "microsoft-update.support" vai līdzīgi, ir skaidra pikšķerēšanas pazīme.

Visbeidzot, pat ja izmantojat labu pretvīrusu programmu, vislabāk ir pieņemt, ka Neviens instruments nenodrošina absolūtu aizsardzību.Īpaši, saskaroties ar šādiem sarežģītiem draudiem. Brīdinājumu neesamība nenozīmē, ka instalētais ir drošs. Lai neiekristu šajā slazdā, ir svarīgi saglabāt kritisku attieksmi pret jebkuru lejupielādi un izvairīties no īsinājumtaustiņu izmantošanas, lai atjauninātu Windows.

Ko darīt, ja jums ir aizdomas, ka esat instalējis viltotu 24H2 atjauninājumu

Ja jums šķiet, ka esat palaidis kādu no šiem instalētājiem, kas maskēts kā Windows 11 atjauninājums, jums ir jārīkojas pēc iespējas ātrāk. Ideālā gadījumā jums vajadzētu veikt visaptveroša analīze, izmantojot dažādus drošības rīkus, vēlams no glābšanas vides vai ar bezsaistes skeneri, kas nav atkarīgs no potenciāli apdraudētās sistēmas.

Pat ja tā, tā kā šis drauds var apiet daudzas pretvīrusu programmas, vienkārša skenēšana nav pietiekama. Ieteicams manuāli pārbaudīt dažus zināmus pastāvīgus elementus, piemēram, apdraudējuma klātbūtni. aizdomīgs ieraksts "SecurityHealth" Windows reģistrā kas norāda uz neparastu izpildāmo failu, kā arī dīvainiem saīsnēm mājas mapē, īpaši tādu ar nosaukumu "Spotify.lnk", kurai tur nevajadzētu būt.

Ja atklājat skaidras infekcijas pazīmes, vispiesardzīgākais solis ir atvienojiet aprīkojumu no interneta lai pārtrauktu saziņu ar komandu un vadības serveriem un novērstu turpmāku datu noplūdi. Pēc tam varat izvēlēties uzlabotu tīrīšanas procesu ar profesionāļa palīdzību vai, ja neesat pilnībā pārliecināts par rezultātu, veikt tīru Windows instalēšanu, izmantojot oficiālie Microsoft kanāli.

Kad sistēma ir tīra, ir pienācis laiks vissarežģītākajai daļai: mainīt visas paroles kas, iespējams, ir apdraudēta. Sāciet ar savu primāro e-pastu, bankas kontiem, maksājumu pakalpojumiem un jebkuru platformu, kurā jums ir īpaši sensitīva informācija. Aktivizējiet divpakāpju autentifikācija kad vien iespējams, pievienojiet papildu drošības līmeni.

Tāpat ieteicams pievērst uzmanību neparastai darbībai bankas kontos, dīvainām pieteikšanās reizēm tādos pakalpojumos kā Discord, sociālajos tīklos vai e-pastā, kā arī visiem paroles atkopšanas e-pastiem, kurus neesat pieprasījis. Ja pamanāt kaut ko neparastu, nekavējoties rīkojieties un sazinieties ar savu banku vai attiecīgā pakalpojuma atbalsta komandu.

Visas šīs pūles var šķist pārmērīgas, taču pret ļaunprogrammatūru, kas spēj nozagt akreditācijas datus, maksājumu datus un autentifikācijas žetonus, neradot aizdomas, labāk ir būt piesardzīgam. Labāk ir kļūdīties piesardzīgi, nekā kļūdīties.Galvenais ir reaģēt ātri un neļaut infekcijai ievilkties.

Viltus Windows 11 atjauninājumi, piemēram, šī kampaņa, kas maskējas kā 24H2 versija, parāda, cik tālu kibernoziedznieki var aiziet. lai izmantotu uzticību zīmoliem un ikdienas atjaunināšanas procesiemIzpratne par krāpniecības darbības principiem, zināšanas par krāpnieciskas vietnes pazīmju atpazīšanu un pieradšana izmantot tikai oficiālos Microsoft kanālus ir izšķiroša starp to, vai dators ir pietiekami drošs, vai arī jūs kļūstat par nākamo klusas datu zādzības upuri.

Saistītais raksts:

Uzbrukumi programmatūras piegādes ķēdei: riski un aizsardzība

Isaac

Kaislīgs rakstnieks par baitu pasauli un tehnoloģiju kopumā. Man patīk dalīties savās zināšanās rakstot, un tieši to es darīšu šajā emuārā, parādot visu interesantāko informāciju par sīkrīkiem, programmatūru, aparatūru, tehnoloģiju tendencēm un daudz ko citu. Mans mērķis ir palīdzēt jums vienkāršā un izklaidējošā veidā orientēties digitālajā pasaulē.