恶意软件活动用假冒的 Windows Update 网站诱骗用户

微软近年来不断调整 Windows Update 的策略，这已经让不少用户感到头疼。然而，网络犯罪分子正利用 Windows 平台的漏洞部署更复杂的威胁，使得局势雪上加霜。特别是当攻击者引入了多层代码混淆技术后，防御难度更是直线上升。

安全厂商 Malwarebytes 最近发现了一个针对 Windows Update 服务的恶意活动。该活动主要针对法语用户，利用分层混淆技术，通过合法工具构建并投递多种恶意载荷。这款恶意软件的核心目标非常明确：窃取用户的密码和其他敏感数据。

逼真的假冒更新页面

攻击者搭建了一个极具欺骗性的假冒 Windows 更新网页。该网站会诱导用户下载所谓的“Windows 11 24H2 重要更新”，并声称其中包含关键的安全修复补丁。实际上，用户下载的是一个名为 WindowsUpdate 1.0.0.msi 的大型 Windows Installer 安装包。

据 Malwarebytes 分析，这个 MSI 包是使用合法的开源工具 WiX Toolset 制作的。当用户通过 Windows 外壳运行它时，它会安装一个包含混淆 JavaScript 代码的 Electron 应用程序。

为了逃避安全软件和 Windows 防护机制的检测，恶意软件利用 Electron、JavaScript、Visual Basic 和 Python 等多种技术，将自己的真实意图隐藏在层层混淆代码之后。这种伪装手段相当有效，在 Malwarebytes 的分析过程中，主流杀毒引擎均未检测到该威胁。

该恶意软件包含两个主要的窃密载荷：

通用窃密： 第一个载荷专门针对加密相关功能，旨在提取密码、支付详情和账户凭证等敏感数据。

针对 Discord 的攻击： 第二个载荷则瞄准了 Discord。由于 Discord 也是基于 Electron 构建的，恶意代码可以修改应用程序的部分组件。这意味着，每次用户启动 Discord 时，恶意代码都能拦截登录令牌、支付数据，甚至双因素认证（2FA）令牌。

为了在系统中长期潜伏，恶意软件会修改 Windows 注册表，并在用户的“启动”文件夹中放置一个名为 Spotify.lnk 的快捷方式。随后，它会尝试连接攻击者控制的命令与控制（C2）基础设施，以回传窃取的数据并接收进一步指令。

为何针对法语用户？

Malwarebytes 的分析师指出，该活动似乎专门针对法国用户。这很可能是因为近期的数据泄露事件导致数千万条法语用户的个人记录在网络上流传。利用现成的泄露数据不仅能提高攻击效率，还允许攻击者在后期快速将活动适配到其他语言环境。

Malwarebytes 同时也提供了检测系统是否感染该窃密软件的方法。官方强调，安装 Windows 更新最安全的方式始终是通过操作系统自带的“设置”应用或微软官方更新目录（Microsoft Update Catalog）。

此外，尽管部分用户担心更新可能带来 Bug 或问题，但官方仍建议开启自动更新功能，以确保系统安全。