Een pakket van 83 megabyte, het Microsoft-pictogram, een plausibel KB-artikelnummer. Allemaal nep. Achter wat een normale cumulatieve update voor Windows 11 lijkt, gaat een infostealer schuil (kwaadaardige spionagesoftware waarvan de belangrijkste rol het stelen van persoonlijke en gevoelige informatie van het apparaat van het slachtoffer is) die in staat is de browser te legen van opgeslagen inloggegevens, inclusief bankgegevens, en deze naar een anonieme server te verzenden voordat de gebruiker iets merkt.
Het cybersecuritybedrijf Malwarebytes ontdekte de campagne, die op 9 april 2026 een gedetailleerde technische analyse publiceerde, ondertekend door onderzoeker Stefan Dasic.

De zwendelsite en het MSI-bestand

Het uitgangspunt is een domein geregistreerd via typosquatting: microsoft-update(.)supporteen snaar die op het eerste gezicht authentiek lijkt. De site, geheel in het Frans, beschikt over een Windows-updatepagina compleet met een blauwe downloadknop.

Wat je downloadt is WindowsUpdate 1.0.0.msieen installatiebestand gebouwd met WiX Toolset 4.0.0.5512, een legitiem open source-framework dat ook door professionele ontwikkelaars wordt gebruikt. In het veld “Auteur” verschijnt “Microsoft”, in het veld “Opmerkingen” de juiste bewoording voor een systeemupdate. Gegenereerd op 4 april 2026, vier dagen voordat Malwarebytes het ontdekte.

Hoe malware werkt

De architectuur van malware is gelaagd en het is deze structuur die het moeilijk maakt om malware te onderscheppen. Zodra het MSI-bestand is uitgevoerd, worden drie hoofdcomponenten geïnstalleerd: een Electron-applicatie – dezelfde technologie achter Visual Studio Code of Slack – die fungeert als een externe shell; een Visual Basic Script-opstartprogramma genaamd AppLauncher.vbs; en, diepgaand, een vernieuwde Python 3.10-interpreter _winhost.exe om op een systeemproces te lijken.

Het is de Python-laag die het vuile werk doet. Het laadt een aantal bibliotheken die gespecialiseerd zijn in gegevensdiefstal, inclusief pycryptodome om de buit te versleutelen e pywin32 om te communiceren met Windows API’s – en begint met het verzamelen van inloggegevens, sessiecookies, betalingsgegevens en authenticatietokens die in de browser zijn opgeslagen. Alles wordt vervolgens verzonden naar een anonieme service voor het delen van bestanden: gofile(.)io.

De eigenlijke kwaadaardige code is verborgen in twee sterk versluierde JavaScript-bestanden, ingebed in de Electron-applicatie. Op het moment van de analyse rapporteerde geen van de 69 op VirusTotal geteste antivirusprogramma’s dat het belangrijkste uitvoerbare bestand schadelijk was.

Overleeft opnieuw opstarten, doet zich voor als Spotify

De malware implementeert twee afzonderlijke persistentiemechanismen. De eerste schrijft een registersleutel genaamd SecurityHealth – naam die de Windows Defender-service imiteert – die verwijst naar het uitvoerbare bestand van de nep-update. De tweede maakt een benoemde snelkoppeling in de opstartmap Spotify.lnkeen naam die zo gebruikelijk is dat hij zelfs onder IT-personeel geen argwaan wekt.

Omdat het doelwit Frankrijk is

De keuze van Franstalige gebruikers is niet willekeurig. De afgelopen twee jaar heeft Frankrijk te maken gehad met enkele van de ernstigste datalekken in Europa: Free, de op één na grootste internetoperator van het land, bevestigde in oktober 2024 ongeoorloofde toegang tot gegevens over ongeveer 19 miljoen contracten, inclusief bankgegevens. France Travail, de openbare dienst voor arbeidsvoorziening, werd in 2024 getroffen door een aanval waarbij de gegevens van 43 miljoen mensen openbaar werden gemaakt. In deze context brengt het bouwen van een in het Frans gelokaliseerde phishingpagina marginale kosten met zich mee voor degenen die al over de namen, adressen en ISP’s van de slachtoffers beschikken.

Hoe u uzelf kunt beschermen

Windows-updates kunnen uitsluitend worden gedownload via Instellingen > Windows Update of via de Microsoft Update-catalogus. Elke externe site die een updatebestand aanbiedt, moet als verdacht worden beschouwd, ongeacht hoe overtuigend de grafische weergave is.

Iedereen die vermoedt dat hij of zij de nep-update heeft geïnstalleerd, moet: De registersleutel doorzoeken HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun een benoemde vermelding SecurityHealth waar naar verwijst WindowsUpdate.exe in de AppData-map; controleer op de aanwezigheid van een bestand Spotify.lnk in de opstartmap; verander alle wachtwoorden die in de browser zijn opgeslagen; schakel tweefactorauthenticatie in op e-mail- en bankrekeningen.

Sofie Van der Meer
Sofie Van der Meer

Mijn naam is Sofie van der Meer, en ik ben de hoofdredacteur van Envirodesk. Met een achtergrond in milieujournalistiek en meer dan tien jaar ervaring in het rapporteren over klimaatbeleid en duurzaamheidsinnovaties, ben ik gepassioneerd over het gebruik van storytelling om verandering teweeg te brengen. Mijn missie is om oplossingen te versterken en actie te inspireren voor een groenere, rechtvaardigere wereld.