Das einzige was mir jetzt einfällt ist n Fake Update, welcher den Eintrag in der Hosts Datei wieder ändert.
Zb Opfer fällt in Phishing Versuch rein, loggt sich da ein, es kommt n Fehler, Passwort und Email sind korrekt, leider benötigen sie das Update so und so.
Danach noch n Download Link reinhauen und alles professionel aussehen lassen.
Ich denke die meisten Leute werden updaten, da sie der Seite vertrauen.
Ev. hilft dir das bisschen weiter
edit:
das fake update droppt danach die orginale hosts datei wieder und der User kann weitersurfen