Технологии

Фальшивое обновление Windows устанавливает скрытое вредоносное ПО.

Убедительно похожий на Microsoft сайт обходит пользователей и средства защиты.

Опубликовано 2026-04-21 22:02:34

Fox News Flash top headlines for April 21

Fox News Flash top headlines are here. Check out what's clicking on FoxNews.com.

Если вы когда-либо нажимали «Проверить наличие обновлений» и доверяли тому, что увидели, вы не одиноки. Именно на это и рассчитывает эта новая мошенническая схема.

Страница имитирует официальный брендинг, включает правдоподобный номер базы знаний и предлагает большую синюю кнопку загрузки, которая кажется знакомой.

Подвох? Загружаемый файл устанавливает вредоносное ПО, предназначенное для кражи паролей, платежных реквизитов и доступа к учетным записям.

По словам исследователей из Malwarebytes Labs, команды по исследованию кибербезопасности и анализу угроз внутри Malwarebytes, сайт использует домен с опечаткой (typosquatted), который выглядит достаточно похоже на настоящий URL-адрес Microsoft, чтобы обмануть при беглом взгляде. Часто этого небольшого трюка бывает достаточно.

People walk in front of an office building with a Microsoft sign.

Исследователи кибербезопасности предупреждают, что поддельный сайт обновлений Microsoft использует похожий URL и знакомую кнопку загрузки для распространения вредоносного ПО, похищающего данные. (Michael Nagle/Bloomberg via Getty Images)

Подпишитесь на мой БЕСПЛАТНЫй CyberGuy Report

Получайте мои лучшие технические советы, срочные оповещения о безопасности и эксклюзивные предложения прямо на свою почту.

Простые и практичные способы рано распознавать мошенничество и оставаться под защитой — посетите CyberGuy.com, которому доверяют миллионы, ежедневно смотрящие CyberGuy по ТВ.

Кроме того, вы мгновенно получите доступ к моему Руководству по выживанию среди мошенников бесплатно при регистрации.

Почему это поддельное вредоносное ПО под видом обновления Windows ускользает от обнаружения

На первый взгляд, ничего подозрительного. Файл выглядит как стандартный установщик Windows. Он даже указывает «Microsoft» в своих свойствах. Вот где эта атака становится хитрой. Вместо использования очевидно вредоносного кода злоумышленники создали установщик с помощью легитимных инструментов и выстроили атаку поэтапно. Каждая часть по отдельности выглядит безобидной.

Вот что происходит за кулисами:

Установщик запускает то, что кажется обычным приложением

Это приложение тихо запускает скрытые скрипты

Замаскированный процесс загружает полноценную среду Python

Инструменты кражи данных активируются в фоновом режиме

Поскольку каждый шаг выглядит рутинным, многие средства безопасности не помечают его сразу. Исследователи также отметили, что антивирусные движки изначально показывали ноль обнаружений для ключевых частей атаки. Это не значит, что файл безопасен. Это значит, что вредоносное поведение хорошо скрыто.

Что ворует это поддельное вредоносное ПО под видом обновления Windows

После установки вредоносное ПО быстро приступает к работе. Оно собирает информацию об инфицированном устройстве, включая местоположение и IP-адрес. Затем оно связывается с удаленными серверами для получения инструкций и выгрузки похищенных данных.

Цели включают:

Сохраненные пароли из браузера

Сессии входа и файлы cookie

Платежные реквизиты

Токены учетной записи Discord

Оно даже пытается завершить другие процессы в вашей системе, чтобы избежать помех во время работы. В некоторых случаях оно модифицирует такие приложения, как Discord, чтобы перехватывать активность учетной записи в реальном времени.

Как поддельное вредоносное ПО под видом обновления Windows задерживается в вашей системе

Это вредоносное ПО создано, чтобы оставаться. Оно создает записи, похожие на обычные системные процессы, чтобы слиться с ними. Одна запись в реестре имитирует Windows Security Health, которую большинство пользователей проигнорирует. Оно также помещает ярлык в вашу папку автозагрузки с знакомым именем, например, Spotify. Это позволяет легко его не заметить. Два разных метода обеспечения устойчивости означают, что оно может пережить перезагрузку и продолжать работать.

Windows 11 and Windows 10 operating system logos

Поддельная страница обновлений Windows обманывает пользователей, заставляя загружать вредоносное ПО, которое крадет пароли, платежные реквизиты и доступ к учетным записям. (Beata Zawrzel/NurPhoto)

Почему эта поддельная схема с обновлением Windows кажется такой реалистичной

За этим стоит более крупная тенденция. Исследователи говорят, что подобные кампании часто нацелены на регионы, где крупные утечки данных уже раскрыли личную информацию. Когда злоумышленники уже знают ваше имя, провайдера или привычки, они могут создавать мошеннические схемы, которые кажутся созданными специально для вас. Это делает поддельную страницу обновления Windows гораздо более правдоподобной, чем обычное фишинговое письмо.

Это также подчеркивает нечто важное. Современное вредоносное ПО часто скрывается внутри легитимных инструментов и доверенных фреймворков. Это затрудняет его обнаружение и облегчает доверие. Эта кампания показывает, как далеко продвинулись мошенники. Они больше не полагаются на небрежные письма или очевидные поддельные ссылки. Вместо этого они создают многоуровневые атаки, которые выглядят и ведут себя как доверенное программное обеспечение.

Даже опытные пользователи могут быть застигнуты врасплох, когда все выглядит нормально. Главный вывод прост. Чистый результат сканирования или знакомый интерфейс не гарантируют безопасности.

Microsoft заявляет, что знает об угрозе

Microsoft подтвердила, что отслеживает этот тип активности, и призывает пользователей быть осторожными при загрузке обновлений из незнакомых источников.

«Мы знаем о сообщениях о мошеннических веб-сайтах, выдающих себя за Microsoft, и активно работаем над обнаружением и пресечением вредоносной деятельности в интернете», — сообщил представитель Microsoft CyberGuy. «Мы рекомендуем клиентам быть осторожными с неожиданными запросами или загрузками и проверять, что они взаимодействуют с законными доменами Microsoft. В качестве лучшей практики мы рекомендуем пользователям проверять подлинность ссылки, переходя непосредственно на наш веб-сайт из своих сохраненных закладок, через веб-поиск или вводя доменное имя самостоятельно».

Для получения дополнительных рекомендаций о том, как защититься от фишинговых мошенничеств в интернете, вы можете обратиться к официальной странице поддержки Microsoft по адресу support.microsoft.com.

A man sits in front of a window, working on a laptop.

Убедительная мошенническая схема с обновлением Windows распространяет вредоносное ПО, которое может захватывать сохраненные пароли, файлы cookie, платежные данные и токены Discord. (Todor Tsvetkov/Getty Images)

Способы защититься от поддельного вредоносного ПО под видом обновления Windows

Вам не нужно быть экспертом по безопасности, чтобы этого избежать. Несколько привычек имеют большое значение.

1) Обновляйте Windows только через настройки

Перейдите в «Настройки» > «Центр обновления Windows» и проверяйте наличие обновлений там. Избегайте загрузки обновлений с веб-сайтов.

2) Дважды проверяйте URL-адрес

Настоящие страницы Microsoft используют домен microsoft.com. Все остальное, даже если выглядит похоже, должно вызывать тревогу.

3) Будьте осторожны с срочными запросами на обновление

Если сайт или сообщение настаивает на установке обновления, остановитесь и проверьте его вручную.

4) Используйте надежное антивирусное ПО с поведенческим анализом

Традиционное антивирусное ПО, которое часто встроено в ваше устройство или идет как базовое, в основном ищет известные угрозы с помощью сигнатур, а значит, может пропустить новые или хорошо скрытые атаки, подобные этой. Надежное антивирусное ПО использует поведенческий анализ для мониторинга действий программ в реальном времени, помогая отмечать подозрительную активность, даже если вредоносное ПО ранее не встречалось. Получите мои рекомендации по лучшим антивирусам 2026 года для ваших устройств Windows, Mac, Android и iOS на Cyberguy.com.

5) Используйте сервис удаления данных, чтобы ограничить свою доступность

Если ваша личная информация уже циркулирует в сети из-за прошлых утечек, это может делать подобные мошеннические схемы более убедительными. Сервис удаления данных помогает сократить объем вашей информации в открытом доступе, затрудняя злоумышленникам таргетирование вас персонализированными фишинговыми атаками. Ознакомьтесь с моими лучшими подборками сервисов удаления данных и получите бесплатную проверку, чтобы узнать, не находится ли ваша личная информация уже в сети, посетив Cyberguy.com

6) Включите двухфакторную аутентификацию

Двухфакторная аутентификация (2FA) добавляет второй уровень защиты, если ваши пароли будут украдены.

7) Избегайте загрузки установочных файлов с неизвестных сайтов

Легитимные обновления редко требуют ручной загрузки.

Ключевые выводы Курта

Поддельные обновления — одна из самых эффективных уловок, потому что они используют то, чему мы все доверяем. Защита вашей системы не должна подвергать вас риску, но именно это здесь и эксплуатируют злоумышленники. Самый безопасный шаг — не торопиться, проверять источник обновлений и по возможности придерживаться встроенных инструментов.

Делают ли технологические компании достаточно, чтобы поддельные обновления не ставили под угрозу ваши данные? Поделитесь своими мыслями в комментариях ниже. Сообщите нам, написав на Cyberguy.com.