Киберпреступники развернули новую целевую кампанию, в которой под видом официального обновления Windows распространяется мощный сборщик данных. Атака направлена на франкоговорящих пользователей и использует многослойную архитектуру из легитимных компонентов, что позволяет вредоносной программе оставаться невидимой для традиционных средств защиты. Инцидент подчёркивает растущую изощрённость массовых сборщиков учётных данных и их способность адаптироваться под конкретный географический и языковой контекст для повышения эффективности.
Описание
Злоумышленники создали фишинговый сайт, использующий опечатку в доменном имени - microsoft-update[.]support. Ресурс стилизован под официальную страницу поддержки Microsoft и полностью выполнен на французском языке. На нём предлагается загрузить кумулятивное обновление для Windows версии 24H2 с правдоподобным номером статьи базы знаний (KB). При нажатии на большую синюю кнопку загрузки пользователь получает файл "WindowsUpdate 1.0.0.msi" размером 83 МБ. Свойства файла тщательно подделаны: в полях "Автор" и "Описание" указана корпорация Microsoft, что придаёт ему видимость легитимности.
Выбор французского языка и целевой аудитории не случаен. За последние два года во Франции произошла серия крупных утечек данных, в результате которых на теневых форумах оказались персональные данные десятков миллионов человек. Например, в 2024 году оператор связи Free подтвердил компрометацию данных о 19 миллионах абонентских договоров, включая банковские реквизиты. Национальное агентство по трудоустройству France Travail сообщило о взломе, затронувшем 43 миллиона записей. Когда у злоумышленников уже есть база с именами, адресами и информацией о провайдерах жертв, персонализированная фишинговая атака на родном языке становится значительно убедительнее, чем общее англоязычное сообщение. Как отмечают исследователи, такой контекст делает Францию одной из самых привлекательных целей для краж учётных данных.
После установки MSI-пакета в системе "C:\Users\<USER>\AppData\Local\Programs\WindowsUpdate\" размещается приложение на базе Electron - по сути, облегчённый браузер Chromium со встроенным JavaScript-кодом. Основной исполняемый файл "WindowsUpdate.exe" является переименованной стандартной оболочкой Electron, которую антивирусные движки определяют как чистую. Вредоносная логика скрыта внутри запакованного и сильно обфусцированного JavaScript. Для запуска используется скрипт "AppLauncher.vbs", который выполняет встроенный в Windows интерпретатор "cscript.exe" - это классическая техника "жизни за счёт земли" (Living off the Land), маскирующая вредоносную цепочку исполнения под рутинные системные процессы.
Однако оболочка Electron - лишь внешний слой. Основная нагрузка выполняется переименованным интерпретатором Python 3.10 ("_winhost.exe"), который распаковывает полноценную среду выполнения Python во временную папку и устанавливает пакеты для кражи данных: "pycryptodome" для шифрования, "psutil" для анализа процессов и обнаружения песочниц, "pywin32" и "PythonForWindows" для глубокого взаимодействия с API Windows. Анализ обфусцированного JavaScript показал, что один файл содержит основную логику сборщика с функциями шифрования, а второй специально нацелен на кражу токенов, платёжных данных и данных двухфакторной аутентификации из мессенджера Discord, который также работает на Electron.
Для обеспечения постоянного присутствия в системе вредоносная программа использует два независимых механизма. Первый - запись в автозагрузку реестра ("CurrentVersion\Run") значения с названием "SecurityHealth", имитирующего компонент безопасности Windows. Второй - размещение в папке автозагрузки ярлыка "Spotify.lnk", который большинство пользователей сочтут легитимным. Сразу после запуска программа проводит разведку, определяя публичный IP-адрес и геолокацию жертвы, после чего связывается со своей командной инфраструктурой (C2). Для выгрузки похищенных данных используется файлообменный сервис Gofile, популярный среди злоумышленников из-за анонимности и отсутствия журналов.
На момент анализа основные компоненты угрозы, включая исполняемый файл Electron и VBS-скрипт, не детектировались ни одним из 69 антивирусных движков на VirusTotal. Это не провал конкретных инструментов, а запланированный результат архитектуры вредоносной программы. Каждый компонент по отдельности - легитимный инструмент или чистый файл. Угроза проявляется только при анализе полной цепочки: от VBS-загрузчика до приложения Electron, переименованного процесса Python и последующего сбора и эксфильтрации данных. Такой подход демонстрирует эволюцию массовых сборщиков данных, которые всё чаще используют готовые легитимные компоненты для обхода сигнатурных и статических методов обнаружения.
Основной вывод для специалистов по информационной безопасности и обычных пользователей заключается в том, что нулевой уровень детектирования на VirusTotal не означает безопасность файла. Это часто указывает на то, что вредоносная логика скрыта внутри обфусцированных скриптов или доставляется во время выполнения. Для защиты от подобных угроз критически важно соблюдать базовые правила кибергигиены: обновлять Windows исключительно через встроенный центр обновлений в настройках системы или через официальный каталог Microsoft Update Catalog. Любые сторонние сайты, предлагающие загрузить обновление вручную, должны вызывать подозрение. Также рекомендуется включить автоматические обновления, что сводит к минимуму необходимость ручных действий и снижает риск попадания на фишинговые страницы.
Индикаторы компрометации
Domains
- datawebsync-lvmv.onrender.com
- ip-api.com
- microsoft-update.support
- store8.gofile.io
- sync-service.system-telemetry.workers.dev
- www.myexternalip.com
SHA256
- 13c97012b0df84e6491c1d8c4c5dc85f35ab110d067c05ea503a75488d63be60
- c94de13f548ce39911a1c55a5e0f43cddd681deb5a5a9c4de8a0dfe5b082f650
