Situs yang mengaku menawarkan pembaruan Windows secara manual lewat tombol unduh biru besar sebaiknya langsung ditutup. Malwarebytes menemukan situs dukungan palsu milik Microsoft, microsoft-update.support, yang menampilkan seolah-olah menyediakan cumulative update untuk Windows 24H2, padahal isinya justru malware pencuri kata sandi.

Tampilan halaman dibuat sangat meyakinkan agar terlihat resmi. Situs itu bahkan memakai referensi bergaya KB dan mengunduh file MSI berukuran 83MB bernama Windowsupdate1.0.0.msi, lengkap dengan properti file yang tampak sah.

Modus yang dibuat agar terlihat resmi

Menurut Malwarebytes, halaman palsu itu disusun untuk meniru halaman dukungan Microsoft dengan cukup rapi. Situsnya juga saat ini ditulis dalam bahasa Prancis, yang mengindikasikan target awalnya adalah pengguna berbahasa Prancis, meski operasi semacam ini bisa cepat meluas.

File installer yang digunakan tidak dibuat secara sembarangan. Malwarebytes menyebut paket itu dibangun memakai WiX Toolset yang sah, lalu metadata-nya dipalsukan agar tampak seperti buatan Microsoft dan lebih mudah lolos dari pemeriksaan dasar.

Apa yang terjadi setelah file dijalankan

Setelah MSI dipasang, malware menaruh aplikasi berbasis Electron ke folder AppData milik pengguna. Dari sana, komponen lain ikut dijalankan, termasuk runtime Python yang disamarkan, lalu sistem mulai mengambil alat dan paket yang biasa dipakai untuk pencurian data.

Rangkaian komponen itu mencakup bagian untuk enkripsi, inspeksi proses, dan akses lebih dalam ke Windows. Dengan pola seperti ini, pelaku tidak mengandalkan satu file berbahaya yang langsung terlihat mencolok, melainkan memecah fungsinya ke banyak bagian yang lebih sulit dideteksi.

Malwarebytes juga menemukan sasaran khusus pada Discord. File aplikasi itu dimodifikasi untuk mencuri token login, detail pembayaran, serta perubahan pada autentikasi dua faktor, sehingga akun korban bisa diambil alih lebih jauh.

Cara malware mencuri dan mengirim data

Selain menanamkan komponen berbahaya di perangkat korban, malware ini juga melakukan fingerprinting. Malwarebytes menyebut sistem memeriksa alamat IP dan geolokasi untuk mengenali korban sebelum menghubungi infrastruktur command-and-control yang di-host melalui Render dan Cloudflare Workers.

Data curian kemudian diunggah melalui Gofile. Pola ini menunjukkan bahwa operasi tersebut tidak hanya berhenti pada pencurian kredensial, tetapi juga menyiapkan jalur pengiriman data yang terpisah agar aktivitasnya lebih sulit dilacak.

Mengapa ancaman ini berbahaya

Salah satu temuan paling mengkhawatirkan dari laporan Malwarebytes adalah rendahnya deteksi awal. Saat dianalisis, executable utama dan launcher malware itu tercatat nol deteksi di VirusTotal dari puluhan mesin antivirus.

Malwarebytes menjelaskan hal itu terjadi karena logika berbahaya disembunyikan dalam JavaScript yang diobfuscate, komponen Electron yang sah, dan tool Python yang dimuat saat runtime. Artinya, file yang terlihat “normal” bisa saja menjadi pintu masuk bagi pencurian data yang jauh lebih serius.

Bagi pengguna, tanda bahaya paling jelas tetap sama: jangan pernah memasang pembaruan Windows dari situs yang meminta unduhan manual lewat tombol mencolok. Pembaruan resmi biasanya datang melalui mekanisme Windows Update yang sah, bukan melalui halaman yang menirukan dukungan Microsoft dan meminta pengguna menjalankan installer MSI dari sumber yang tidak dikenal.