Malwarebytes, Windows Update’i taklit eden yeni bir saldırı kampanyası tespit etti. Saldırganlar, “microsoft-update[.]support” alan adında Microsoft destek sayfası gibi görünen bir site kurup Windows 11 24H2 için sözde “kümülatif güncelleme” sunuyor. İndirilen dosya ise şifreleri, ödeme bilgilerini ve hesap erişimlerini toplayan bir zararlıya dönüşüyor. Site tamamen Fransızca hazırlanmış, ancak bu tür kampanyaların hızla başka dillere yayılabildiği uyarısı yapılıyor.
Kurbanlara “WindowsUpdate 1.0.0.msi” adlı yaklaşık 83 MB’lık bir paket indirtiliyor. Paket, meşru WiX Toolset 4.0.0.5512 ile 4 Nisan 2026’da oluşturulmuş. Dosyanın özellikleri “Microsoft” yazarı gibi sahte bilgilerle süslenmiş. İlk bakışta temiz göründüğü için birçok güvenlik aracını da atlatabiliyor.
Saldırı zinciri katmanlı ilerliyor: VBS betiği yerleşik cscript ile çalıştırılıyor, Electron tabanlı bir kabuk açılıyor, ardından yeniden adlandırılmış bir Python yorumlayıcısı devreye giriyor. Zararlı kod ağır şekilde gizlenmiş JavaScript/Python dosyaları içinde saklanıyor. Analiz sırasında ana bileşenler VirusTotal üzerinde sıfır tespit almış. Ek olarak, Discord’un Electron tabanlı yapısına müdahale edilerek oturum belirteçleri ve ödeme verileri ele geçirilmeye çalışılıyor.
Kalıcılık için iki yöntem kullanılıyor: Kullanıcı oturumunda “SecurityHealth” adıyla bir Run anahtarı oluşturuluyor ve Başlangıç klasörüne “Spotify.lnk” kısayolu bırakılıyor. Zararlı; IP ve konum bilgisini aldıktan sonra Render ve Cloudflare Workers üzerinde barındırılan C2 uç noktalarına bağlanıyor, veriyi ise gofile üzerinden dışarı sızdırıyor.
Güvenli güncelleme için ne yapmalı?
- Windows’u her zaman Ayarlar > Windows Update üzerinden güncelleyin. Manuel indirme gerekiyorsa yalnızca Microsoft Update Catalog’u kullanın.
- “microsoft.com” dışındaki etki alanlarında sunulan “Windows güncellemesi” dosyalarına itibar etmeyin. Adres çubuğunu mutlaka kontrol edin.
- Bu paketi indirdiyseniz: geçici klasörleri temizleyin, tarayıcıya kayıtlı tüm parolaları değiştirin, önemli hesaplarda 2FA’yı açın ve davranışsal tespit sunan güncel bir güvenlik yazılımıyla tam tarama yapın.
Özetle, saldırganlar meşru araçları (WiX, Electron, Python) kullanıp görünürlüğü azaltan yöntemlerle kullanıcıları kandırıyor. Windows güncellemeleri için en güvenli yol, doğrudan işletim sisteminin kendi ayarları.
Kaynak: www.techspot.com