Ani tí najskúsenejší z nás nie sú imúnni voči rafinovaným podvodom. Kyberzločinci neustále zvyšujú latku a ich najnovší kúsok je takmer dokonalý. Ak ste v poslednom čase hľadali aktualizácie pre svoj systém, možno ste narazili na stránku, ktorá vyzerá ako oficiálna podpora Microsoftu. Pravdou však je, že ide o pascu, ktorá vám z počítača vysaje všetky citlivé údaje a váš antivírus si to ani nemusí všimnúť.
Falošná aktualizácia, ktorá vyzerá až príliš reálne
Podvodníci vytvorili vernú kópiu stránky podpory systému Windows, ktorá láka na stiahnutie „kumulatívnej aktualizácie“ pre verziu Windows 24H2. Celé to pôsobí veľmi dôveryhodne – nechýba správne číslo KB článku ani veľké modré tlačidlo „Stiahnuť aktualizáciu“. Po kliknutí sa do vášho PC stiahne balík s názvom WindowsUpdate 1.0.0.msi.
Podľa bezpečnostnej spoločnosti Malwarebytes tento balík v skutočnosti obsahuje nebezpečný malvér. Jeho cieľom je „vysávať“ heslá, platobné údaje a prístupy k účtom. Čo je však najviac znepokojujúce, súbor je vytvorený pomocou legitímneho frameworku WiX Toolset, v poli autor má uvedené „Microsoft“ a tvári sa ako databáza potrebná pre inštaláciu logiky aktualizácie.
Dokonalé maskovanie pred antivírusmi
Prečo je tento útok taký nebezpečný? Pretože bol navrhnutý tak, aby prešiel cez vaše bezpečnostné hradby bez povšimnutia. V čase analýzy nástroj VirusTotal ukázal nulu v stĺpci detekcií u 69 rôznych antivírusových motorov. Nešlo o zlyhanie jedného nástroja, ale o úmyselný výsledok architektúry malvéru.
Útočníci použili techniku maskovania cez takzvaný Electron shell. Automatická obrana vášho počítača uvidí iba vonkajšiu vrstvu (legitímny framework, ktorý používajú tisíce bežných aplikácií) a nepátra hlbšie. Vo vnútri sa však skrýva škodlivý JavaScript, ktorý začne snímať vaše prihlasovacie údaje hneď po spustení. Táto „sneaky“ konštrukcia robí z malvéru tichého a neviditeľného zlodeja.
Ako nenaletieť a čo robiť v prípade nákazy
Existuje jeden kľúčový detail, ktorý tento podvod okamžite prezradí: doména. Falošná stránka používa adresu microsoft-update[.]support. Skutočné centrum podpory Microsoftu však vždy nájdete na adrese support.microsoft.com. Rozdiel je nenápadný, ale zásadný.
Najbezpečnejším spôsobom, ako aktualizovať váš Windows, nie je hľadanie súborov na internete, ale cesta priamo cez váš systém. Microsoft odporúča používať výhradne sekciu Windows Update, ktorú nájdete v Nastaveniach v ponuke Štart.
Ako zistiť, či je váš počítač infikovaný?
Ak máte podozrenie, že ste túto „aktualizáciu“ omylom stiahli a nainštalovali, konajte rýchlo. Tu sú kroky, ktorými si overíte nákazu a vyčistíte systém:
- Kontrola registrov: Stlačte Windows + R, napíšte
regedita potvrďte. Prejdite do vetvyHKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Hľadajte položku s názvom SecurityHealth, ktorá odkazuje na súborWindowsUpdate.exevo vašom priečinku AppData. Ak ju tam nájdete, okamžite ju odstráňte. - Priečinok Po spustení (Startup): Pozrite sa do svojho priečinka pre programy po spustení. Ak tam nájdete súbor Spotify.lnk, ktorý ste tam sami nevytvorili, vymažte ho.
- Odstránenie priečinkov malvéru: Vymažte celý priečinok
C:\Users\<POUŽÍVATEĽ>\AppData\Local\Programs\WindowsUpdate\. - Vymazanie dočasných súborov: Vyčistite dočasné súbory v ceste
C:\Users\<POUŽÍVATEĽ>\AppData\Local\Temp\WinGet\tools\. - Zmena hesiel: Predpokladajte, že všetky heslá uložené v prehliadači, cookies a relácie (session tokens) boli kompromitované. Zmeňte si heslá ku všetkým dôležitým účtom.
- Dvojfaktorové overenie (2FA): Aktivujte si 2FA všade, kde je to možné, so zameraním na e-maily a bankové účty.
- Hĺbkový sken: Spustite úplnú kontrolu systému pomocou aktualizovaného antivírusu, ideálne takého, ktorý disponuje behaviorálnou detekciou.
