Windows podpora krade vaše hesla. Stačí jen navštívit web a ovládne váš počítač

Stránka podpory Microsoftu nabízí ke stažení „aktualizaci Windows 11 24H2“. Ta po spuštění vysaje z prohlížeče všechna hesla, přitom ji antiviry vůbec nevidí.

Zdroj fotografie: Unsplash

Dne 9. dubna 2026 publikoval bezpečnostní tým Malwarebytes analýzu phishingové domény „microsoft-update[.]support“. Web vypadal jako běžná stránka Microsoftu, jen komplet ve francouzštině, s velkým tlačítkem ke stažení souboru „WindowsUpdate 1.0.0.msi“ o velikosti 83 MB. Kdo soubor stáhl a spustil, nevědomky si nainstaloval vícevrstvý infostealer, malware zaměřený výhradně na krádež přihlašovacích údajů, cookies, platebních dat a session tokenů. V okamžiku analýzy neměl hlavní spustitelný soubor jedinou detekci na 69 antivirových enginech, jak redakce Mobify zjistila.

Jak útok funguje krok za krokem

Řetězec infekce začíná klikem na tlačítko „Stáhnout“. Po spuštění MSI balíčku se do složky „AppData\Local\Programs\WindowsUpdate\“ nainstaluje aplikace Electron. Ta přes skript „AppLauncher.vbs“ a systémový „cscript.exe“ spustí přejmenovaný Python runtime (_winhost.exe), který rozbalí nástroje do dočasné složky „Temp\WinGet\tools“. Pak přijde hlavní rána:

• Malware hromadně ukončí procesy prohlížečů a bezpečnostních nástrojů přes „taskkill.exe“.
• Projde úložiště hesel, cookies, session tokenů a platebních karet v Chrome, Edge i dalších prohlížečích.
• U Discordu vytáhne tokeny a údaje o změnách dvoufaktorové autentizace.
• Zkopíruje IP adresu a lokaci.
• Data odešle přes C2 servery na platformách Render a Cloudflare Workers a nahraje je na Gofile.

Celý proces proběhne bez jediného vyskakovacího okna. Uživatel vidí nanejvýš krátké probliknutí konzole.

Proč antivirus nereaguje

Útočníci poskládali malware z komponent, které samy o sobě vypadají nevinně. WiX installer je legitimní balicí nástroj. Electron shell používají tisíce běžných aplikací. VBScript přes „cscript.exe“ je standardní systémová funkce. Python runtime je veřejně dostupný interpret.

Škodlivina se skrývá v obfuskovaném JavaScriptu uvnitř aplikace Electron a část komponent se dotahuje až za běhu. Statická analýza proto vidí jen sadu běžných nástrojů. SmartScreen staví na dynamických seznamech škodlivých webů a reputaci stahovaných souborů, takže u nové, dosud neznámé kombinace nemusí varování přijít vůbec. Malwarebytes po své analýze detekci doplnil, ale v prvních dnech kampaně byl uživatel bez ochrany.

Jak malware přežije restart

Vytrvalost je dvakrát tak dobrá a záměrně maskovaná:

• Do registru (HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) zapíše hodnotu „SecurityHealth“ odkazující na „WindowsUpdate.exe“, název připomíná legitimní Windows Security.
• Do složky Startup umístí zástupce „Spotify.lnk“, jméno, které většina uživatelů přehlédne jako hudební přehrávač.

Po každém restartu se malware znovu spustí a pokračuje ve sběru dat.

Jak poznáte, že jste v bezpečí, a jak ne

Klíčové rozlišení: samotná návštěva phishingového webu podle publikované analýzy kompromitaci nespouští. Rizikový moment nastává až stažením a spuštěním MSI souboru. Pokud jste na podobné stránce byli, ale nic nestahovali, analýza nedává důvod předpokládat napadení.

Pokud jste MSI spustili, hledejte tyto stopy:

• Složka „AppData\Local\Programs\WindowsUpdate\“ s „WindowsUpdate.exe“
• Soubor „AppLauncher.vbs“ ve stejném umístění
• Registrový klíč „SecurityHealth“ v Run směřující na „WindowsUpdate.exe“
• Zástupce „Spotify.lnk“ ve Startup
• Obsah složky „AppData\Local\Temp\WinGet\tools\“

Najdete-li cokoliv z toho, Malwarebytes doporučuje okamžitě, a z jiného, čistého zařízení, změnit všechna hesla uložená v prohlížeči, zapnout dvoufaktorovou autentizaci a spustit plnou kontrolu antimalwarem.

Jediné bezpečné místo pro aktualizace Windows

Jedno pravidlo stačí: pravý update Windows se instaluje přes Nastavení → Windows Update. Pokud potřebujete ruční balíček, třeba pro offline instalaci, Microsoft ho distribuuje výhradně přes Microsoft Update Catalog. Jakýkoliv jiný web, který po vás chce stáhnout a spustit MSI nebo EXE soubor s názvem „Windows update“, je červená vlajka. Bez výjimky.

Zatím odhalená kampaň cílila na francouzsky mluvící uživatele, ale technika útoku není na jazyk vázaná. Lokalizace phishingové stránky do češtiny je pro útočníka otázka minut, a Windows 11 24H2 je reálná větev systému, kterou používají miliony lidí i u nás.