Valse update Windows 11 omzeilt antivirus

17 apr 2026

Gerelateerde artikelen

Cybercriminelen hebben een zeer overtuigende nep‑update voor Windows 11 versie 24H2 in omloop gebracht. Deze valse update ziet eruit als een officiële Windows‑update, glipt langs veel antivirusprogramma’s en is bedoeld om wachtwoorden, browsergegevens en accountsessies te stelen.

Valse Update Windows Omzeilt Antivirus | Softwaregeeknl

De dreiging werd begin april 2026 openbaar gemaakt door meerdere beveiligingsonderzoekers, waaronder Malwarebytes en diverse technologie‑nieuwssites.

Wat is Windows 11 24H2?

Windows 11 24H2 was een feature‑update van Microsoft Windows. Deze versie eindigt op 13 oktober 2026 voor de edities Home, Pro, Pro Education en Pro for Workstations. Juist omdat veel gebruikers nieuwsgierig zijn naar nieuwe functies, grijpen criminelen dit moment aan om nep‑downloads geloofwaardig te maken. Onderzoekers zien dat de aanval zich richt op mensen die online zoeken naar “Windows 11 24H2 update” in plaats van de update via de officiële Windows Update‑instellingen af te wachten.

Hoe werkt deze valse update?

1. Een bijna perfecte Microsoft‑kopie

De aanval begint op een nagemaakte Microsoft‑supportwebsite, gehost op een zogenoemd typosquatting‑domein zoals Microsoft-update[.]support. Dat domein lijkt sterk op een echt Microsoft‑adres en toont een pagina met officiële kleuren, lay‑out en zelfs een geloofwaardig KB‑nummer (Knowledge Base). Dit is de echte support website.

Gebruikers krijgen een grote blauwe knop te zien met teksten als Cumulatieve update voor Windows 11 24H2 downloaden. Alles is erop gericht om vertrouwen te wekken.

2. De misleidende download

Wie op de knop klikt, downloadt een bestand van ongeveer 83 MB met de naam:

Windows Update 1.0.0.msi

Volgens de bestandseigenschappen lijkt Microsoft de uitgever te zijn. Ook de beschrijving (“Installatiedatabase”) en metadata zijn zorgvuldig vervalst. Het installatiepakket is zelfs gebouwd met de WiX Toolset, een legitiem en veelgebruikt open‑source installatie framework voor Windows. Daardoor slaan veel beveiligingsscanners in eerste instantie geen alarm.

Volgens Malwarebytes :

Valse Update Windows Omzeilt Antivirus | SoftwaregeeknlWe zagen de campagne op Microsoft-update[.]support, een getyposquatteerd domein verkleed om eruit te zien als een officiële Microsoft-ondersteuningspagina. De site is volledig in het Frans geschreven (maar deze campagnes hebben de neiging zich snel te verspreiden) en presenteert een nep-cumulatieve update voor Windows-versie 24H2, compleet met een plausibel KB-artikelnummer. Een grote blauwe downloadknop nodigt gebruikers uit om de update te installeren.

Waarom antivirussoftware dit vaak mist

Onderzoekers benadrukken dat dit geen “fout” van één specifiek antivirusproduct is. De malware is bewust zo ontworpen dat detectie in de eerste fase wordt vermeden.

Belangrijke redenen:

Valse Update Windows Omzeilt Antivirus | Softwaregeeknl
  • De buitenste laag van het installatieprogramma is technisch legitiem;
  • Schadelijke code zit verborgen in Electron‑ en scriptlagen;
  • Vroege analyses toonden nul detecties bij tientallen antivirus‑engines;
  • Er worden standaard Windows‑onderdelen gebruikt, zoals cscript.exe en een vermomde Python‑omgeving.

Wat doet de malware na installatie?

Na uitvoering van het MSI‑bestand gebeurt het volgende (vereenvoudigd en gebaseerd op onderzoek):

  • Er wordt een Electron‑applicatie geïnstalleerd, vergelijkbaar met veel legitieme desktopapps;
  • Via scripts wordt een verborgen Python‑proces gestart;
  • De malware verzamelt:
    • Browser‑opgeslagen wachtwoorden;
    • Cookies en actieve sessies (kan 2FA omzeilen);
    • Betalingsgegevens;
    • Discord‑tokens en accountdata.
  • De buitgemaakte gegevens worden versleuteld verzonden naar externe servers of anonieme bestandsdiensten.

Blijvend aanwezig na herstart

Om actief te blijven, maakt de malware misleidende opstartverwijzingen aan:

  • Een register‑sleutel met de naam Security Health
  • Een snelkoppeling die lijkt op een onschuldige app, bijvoorbeeld Spotify, in de Opstart‑map

Hierdoor start de malware automatisch opnieuw na elke reboot.

Wie worden vooral getroffen?

De campagne werd aanvankelijk in het Frans gespot en lijkt zich eerst te richten op Frankrijk. Beveiligingsexperts wijzen erop dat dit waarschijnlijk samenhangt met recente grootschalige datalekken in dat land, waardoor criminelen over veel persoonlijke informatie beschikken om gerichte oplichting geloofwaardig te maken. Er is echter niets dat verspreiding naar andere Europese landen – waaronder Nederland – verhindert.

Hoe herkent en voorkomt u deze dreiging?

Belangrijk: deze aanbevelingen zijn algemeen en worden expliciet door beveiligingsonderzoekers genoemd.

  • Download Windows‑updates uitsluitend via:
    • Instellingen → Windows Update
    • Officiële Microsoft‑domeinen (zoals microsoft.com)
  • ❌ Download nooit updates van “support‑sites” die u via Google vindt
  • Wees extra alert op:
    • Update‑aanbiedingen vóór officiële release
    • Grote downloadknoppen op externe websites
    • Domeinen met subtiele spelfouten

Denkt u dat u deze nep‑update hebt geïnstalleerd?

Indien u slachtoffer bent van deze cybercrimenelen kunt u volgens onderzoekers het volgende doen:

  • Een volledige systeemscan uit te voeren met up‑to‑date beveiligingssoftware;
  • Verdachte opstartitems te controleren;
  • Alle opgeslagen wachtwoorden te wijzigen, vooral voor e‑mail, Microsoft‑account, banken en sociale media;
  • Windows 11 opnieuw installeren wanneer u de infectie niet kwijt raakt.

Conclusie

Deze valse Windows 11 24H2‑update laat zien hoe realistisch en geraffineerd moderne digitale oplichting is geworden. Door misbruik te maken van vertrouwen in Microsoft‑updates en legitieme software‑tools, slagen aanvallers erin om zowel gebruikers als beveiligingssoftware te misleiden. De belangrijkste les blijft:

Een echte Windows‑update komt nooit via een externe downloadpagina maar via Windows Update.