微软假更新网站0检测过杀毒：83MB安装包偷走你的Discord账号

83MB的"官方更新包"，杀毒软件集体沉默，你的密码却正在被上传。

Malwarebytes刚抓到一个伪装成微软支持站的钓鱼页面（microsoft-update.support）。页面用法语写成，专门针对法语用户，但安全团队警告这种攻击模式扩散极快。整个网站从KB编号到文件属性都做得像模像样，下载按钮蓝得正宗——点下去，装的不是补丁，是偷密码的贼。

文件看起来越真，人越容易上当

这个安装包叫Windowsupdate1.0.0.msi，大小83MB，用正经的WiX Toolset打包，元数据被篡改得像是微软官方出品。文件属性里的签名、版本号一应俱全，普通用户扫一眼根本分不清真假。部分基础安全检测也会被这种"正规军"外观骗过去。

MSI运行后，往用户的AppData文件夹塞了一个基于Electron的应用，再启动伪装成正常程序的Python运行时。Malwarebytes分析发现，这套组合拳专门用来拉取数据盗窃工具：加密组件、进程检查模块、深度系统访问权限，一样不少。

最狠的一招是对Discord下手。恶意代码直接修改Discord本地文件，拦截登录令牌、支付信息、甚至双因素认证的变更操作。你的游戏账号、绑定的银行卡、安全验证短信，全在对方的视野里。

为什么杀毒软件认不出它

Malwarebytes提交样本到VirusTotal时，主程序和启动器在几十个杀毒引擎面前拿了零检测。不是杀毒软件偷懒，是这 malware 根本没把自己写成"病毒样"。

它的核心逻辑藏在混淆过的JavaScript里，调用的是正经Electron组件，恶意功能靠运行时动态加载的Python工具完成。没有单一的可疑二进制文件，没有明显的恶意特征码，传统检测手段像拳头打在棉花上。

攻击者还做了精细化运营：先查IP和地理位置给受害者"画像"，再通过Render和Cloudflare Workers搭建指挥控制基础设施，偷到的数据用Gofile传走。整套流程分工明确，基础设施云化，追踪和封禁都变得更难。

钓鱼网站的域名本身就是信号：microsoft-update.support这个后缀，正经微软服务绝不会用。

但攻击者赌的就是用户不会细看URL。页面视觉设计、文件命名、甚至安装流程的每一步，都在强化"这是官方更新"的认知。人一旦进入"修电脑"的焦虑状态，判断力就会让位于惯性操作。

这种攻击模式正在变成新常态

用合法开发工具（WiX、Electron）打包恶意代码，用云服务（Render、Cloudflare、Gofile）搭建基础设施，用脚本语言和运行时动态加载规避静态检测——这不是某个黑客的天才发明，是一套已经被验证有效的工程方案。

Malwarebytes指出，法语界面只是起点，这类运营通常快速本地化复制。中文用户遇到"微软更新助手"的中文版，只是时间问题。

防御建议很朴素：Windows更新只走系统自带的Windows Update，任何网站让你"手动下载安装补丁"，先问自己一句——微软为什么要把简单的事情变复杂？

你的Discord账号最近有异常登录提醒吗？