Situs palsu yang meniru dukungan Microsoft ditemukan menampilkan tombol unduh yang mencolok dan mendorong pengguna memasang file pembaruan secara manual. Justru dari jalur itulah malware pencuri kata sandi menyusup, sementara tampilannya dibuat sangat meyakinkan agar korban tidak curiga.
Temuan Malwarebytes menunjukkan bahwa situs bernama microsoft-update.support meniru halaman resmi dan mengklaim menyediakan cumulative update untuk Windows 24H2. Namun tautan unduh di dalamnya mengarah ke file berbahaya, bukan pembaruan asli, sehingga jebakan ini berpotensi menjerat pengguna yang mengira sedang mengambil perbaikan sistem yang sah.
Tampilan dibuat mirip halaman asli
Situs palsu tersebut disusun agar terlihat seperti halaman dukungan Microsoft yang rapi dan familier. Untuk memperkuat kesan resmi, halaman itu memakai rujukan bergaya KB, menampilkan file MSI berukuran 83MB bernama Windowsupdate1.0.0.msi, dan memunculkan properti file yang tampak sah.
Cara penyamaran ini sengaja dirancang untuk menurunkan kewaspadaan pengguna. Saat sebuah halaman terlihat meyakinkan dan menawarkan pembaruan Windows secara manual, risiko bagi pengguna meningkat karena langkah yang diambil tampak seperti prosedur biasa, padahal sumbernya tidak resmi.
Paket pemasangannya tidak tampak sembarangan
Malwarebytes menjelaskan bahwa file installer yang dipakai juga dibangun dengan pendekatan yang rapi. Paket MSI itu dibuat menggunakan WiX Toolset yang sah, lalu metadata-nya dipalsukan agar terlihat seperti produk Microsoft.
Teknik ini membuat file lebih sulit dicurigai pada pemeriksaan awal. Dari luar, file tersebut bisa tampak seperti komponen resmi, padahal isinya dirancang untuk membuka jalan bagi malware pencuri data.
Begitu dipasang, rangkaian malware mulai bergerak
Setelah MSI dijalankan, malware menaruh aplikasi berbasis Electron ke folder AppData milik pengguna. Dari titik itu, komponen lain ikut aktif, termasuk runtime Python yang disamarkan, lalu sistem mulai mengambil alat dan paket yang biasa dipakai untuk pencurian data.
Rantai serangan ini tidak bergantung pada satu file berbahaya yang mudah dikenali. Fungsi utamanya dipecah ke beberapa komponen, termasuk bagian untuk enkripsi, inspeksi proses, dan akses lebih dalam ke Windows, sehingga analisis menjadi lebih rumit.
Discord ikut menjadi sasaran
Penelusuran Malwarebytes juga menemukan fokus khusus pada Discord. Aplikasi itu dimodifikasi untuk mencuri token login, detail pembayaran, serta perubahan pada autentikasi dua faktor.
Dengan pola seperti itu, pengambilalihan akun bisa berkembang lebih jauh. Data yang dicuri bukan hanya kredensial masuk, tetapi juga informasi yang dapat membantu pelaku mengambil alih akses korban secara lebih lengkap.
Data dicuri lewat jalur yang dipisahkan
Sebelum terhubung ke server kendali, malware ini melakukan fingerprinting pada sistem korban. Malwarebytes menyebut sistem memeriksa alamat IP dan geolokasi untuk mengenali target lebih dulu sebelum berkomunikasi dengan infrastruktur command-and-control yang di-host melalui Render dan Cloudflare Workers.
Setelah itu, data curian diunggah melalui Gofile. Pola ini menunjukkan operasi yang tidak hanya menargetkan kata sandi, tetapi juga menyiapkan jalur pengiriman data terpisah agar aktivitasnya lebih sulit dilacak.
Deteksi awal sangat rendah
Hal yang membuat temuan ini lebih mengkhawatirkan adalah minimnya deteksi pada tahap awal. Saat dianalisis, executable utama dan launcher malware itu tercatat nol deteksi di VirusTotal dari puluhan mesin antivirus.
Malwarebytes menilai kondisi itu terjadi karena logika berbahaya disembunyikan dalam JavaScript yang diobfuscate, komponen Electron yang sah, dan tool Python yang dimuat saat runtime. Kombinasi tersebut memungkinkan file yang tampak normal berubah menjadi pintu masuk pencurian data.
Pada saat situs mengatasnamakan Microsoft lalu menawarkan unduhan manual lewat tombol besar, kewaspadaan perlu ditingkatkan. Pembaruan resmi Windows tetap seharusnya datang melalui mekanisme Windows Update yang sah, bukan dari halaman tiruan yang meminta pengguna menjalankan installer MSI dari sumber yang tidak dikenal.
