ปกติแค่การอัปเดต Windows 11 ของจริงก็มักจะมีบั๊กกวนใจให้ผู้ใช้งานปวดหัวกันอยู่บ้างแล้ว ไม่ว่าจะเป็นเมนู Start ค้างหรือฟังก์ชันรีเซ็ตเครื่องพัง แต่ล่าสุดมีสิ่งที่น่ากลัวกว่านั้นมาก เมื่อมีการค้นพบเว็บไซต์สนับสนุนของ Microsoft ปลอมที่ทำออกมาได้เนียนสุดๆ เพื่อหลอกให้ดาวน์โหลดไฟล์อัปเดตอันตราย โดยทีมวิจัยจาก Malwarebytes ออกมาเตือนว่าไฟล์นี้จะแอบขโมยข้อมูลสำคัญไปแบบเงียบเชียบโดยที่ระบบป้องกันในเครื่องแทบจะตรวจจับไม่ได้เลย
แคมเปญหลอกลวงนี้ใช้วิธีการจดชื่อโดเมนให้คล้ายกับของจริงเพื่อปลอมแปลงเป็นหน้าสนับสนุนหลักของ Microsoft โดยพุ่งเป้าไปที่กลุ่มผู้ใช้งาน Windows ในประเทศฝรั่งเศสเป็นหลัก ด้วยการเสนอให้อัปเดต Windows 11 24H2 ที่ดูเหมือนจะเป็นของจริงมาก ตัวเว็บไซต์มีการใช้โทนสีและรูปแบบ UI ที่คุ้นตา แถมยังมีรหัสอ้างอิงฐานความรู้ หรือ KB ปลอมประกอบมาให้ดูน่าเชื่อถือ พร้อมปุ่มดาวน์โหลดที่เด่นชัดชวนให้กดแบบสุดๆ
หากเผลอกดปุ่มดาวน์โหลดไป จะได้รับไฟล์ติดตั้งขนาด 83MB ชื่อว่า WindowsUpdate 1.0.0.msi ซึ่งถ้าสังเกตดีๆ จะพบพิรุธตรงที่รหัสอัปเดต KB5034765 ที่ระบุไว้นั้น จริงๆ แล้วเป็นตัวอัปเดตเก่าตั้งแต่เดือนกุมภาพันธ์สำหรับเวอร์ชัน 23H2 และ 22H2 ไม่ใช่เวอร์ชัน 24H2 ตามที่กล่าวอ้าง การโจมตีนี้ใช้เทคโนโลยีที่ดูน่าเชื่อถืออย่าง WiX Toolset และ Electron ในการสร้างตัวติดตั้ง ทำให้โปรแกรมสแกนไวรัสส่วนใหญ่ตรวจไม่เจออะไรผิดปกติในช่วงแรก
เมื่อตัวติดตั้งเริ่มทำงาน มันจะรันสคริปต์ Visual Basic เพื่อเรียกใช้งานแอปพลิเคชันที่ซ่อนกระบวนการของ Python เอาไว้ข้างใน ซึ่งกระบวนการนี้จะทำการติดตั้งแพ็กเกจต่างๆ ที่เกี่ยวข้องกับการขโมยข้อมูลโดยเฉพาะ ทั้งการเข้าถึง Windows API และการตรวจสอบระบบแบบเจาะลึก ข้อมูลที่ถูกเพ่งเล็งเป็นพิเศษคือรหัสผ่านที่บันทึกไว้ในเบราว์เซอร์, โทเค็นของ Discord ไปจนถึงข้อมูลการชำระเงินต่างๆ ที่อาจสร้างความเสียหายต่อเงินในกระเป๋าได้มหาศาล
ความแสบของมัลแวร์ตัวนี้ยังไม่หมดเพียงเท่านี้ เพราะมันพยายามจะฝังตัวอยู่ในเครื่องให้ได้นานที่สุดด้วยการสร้างรายการใน Registry ของระบบโดยปลอมชื่อเป็นส่วนประกอบความปลอดภัยของ Windows และสร้างทางลัดตอนเปิดเครื่องให้ดูเหมือนเป็นไอคอนของแอปพลิเคชัน Spotify เพื่อหลบเลี่ยงการสงสัย ทำให้แม้จะรีสตาร์ตเครื่อง โน้ตบุ๊ก ไปกี่รอบ เจ้ามัลแวร์ตัวนี้ก็ยังคงทำงานและขโมยข้อมูลต่อไปได้เรื่อยๆ
เพื่อความปลอดภัยสูงสุด แนะนำให้ทำการอัปเดตผ่านเมนู Windows Update ในตัวเครื่องโดยตรง หรือเลือกดาวน์โหลดจากโดเมนของ Microsoft ที่เป็นทางการเท่านั้น หากไปเจอไฟล์อัปเดตแยกบนเว็บไซต์แปลกหน้าให้สงสัยไว้ก่อนเลยว่าเป็นของปลอม การป้องกันตัวเองเบื้องต้นอาจช่วยประหยัดเงินในบัญชีที่อาจสูญเสียไปหลายหมื่นบาท หรืออาจสูงถึง 100,000 บาท (ประมาณ 2,700 ดอลลาร์สหรัฐ) หากข้อมูลบัตรเครดิตหลุดไปอยู่ในมือมิจฉาชีพ พยายามติดตามข่าวสารจากแหล่งที่เชื่อถือได้เสมอเพื่อไม่ให้ตกเป็นเหยื่อรายต่อไป
