Negli ultimi rilevamenti i ricercatori hanno scoperto un sito che somiglia a Microsoft e propone il download di un presunto aggiornamento per Windows 11 24H2. Apparentemente legittimo, il pulsante di download invece distribuisce un file che non ha nulla a che vedere con gli update ufficiali: si tratta di un installer che attiva un infostealer progettato per sottrarre informazioni sensibili dal sistema. L’attacco sfrutta l’inganno visivo e la fiducia degli utenti verso le interfacce familiari di Microsoft.
Modalità dell’attacco e vettore iniziale
La campagna è stata osservata principalmente con pagine in francese, ma la tecnica è facilmente adattabile ad altre lingue e mercati. L’origine del traffico verso il sito falso non è definitiva: le vittime potrebbero essere state attratte da risultati di ricerca compromessi o messaggi di phishing.
Dopo il clic, viene scaricato un file MSI di circa 83 MB: una dimensione che fa sorgere sospetti poiché un reale pacchetto di aggiornamento di Windows 11 è molto più voluminoso. Questo primo elemento è un chiaro indicatore per utenti attenti.
Comportamento dell’installer
L’installer copia sul sistema uno script VBScript che avvia un’app sviluppata con Electron, il cui eseguibile si presenta come WindowsUpdate.exe. L’app è, in pratica, una versione semplificata di Chrome che esegue codice JavaScript e maschera il vero payload: un modulo dedito al furto di credenziali e dati finanziari. Questo stratagemma — usare ambienti web-packaged — permette al malware di eseguire codice dinamico senza sollevare immediatamente sospetti da parte degli utenti meno esperti.
Tipi di dati compromessi e modalità di esfiltrazione
Il programma malevolo è stato progettato per raccogliere diverse informazioni: oltre ai dettagli di sistema come l’indirizzo IP, intercetta token di accesso a Discord e dati relativi a metodi di pagamento memorizzati nei browser. La procedura di esfiltrazione è piuttosto semplice e furtiva: i dati raccolti vengono caricati su servizi di condivisione file anonimi, nello specifico Gofile, che rende l’estrazione delle informazioni rapida e difficile da tracciare. Questo comportamento evidenzia l’obiettivo principale del malware: monetizzare l’accesso a account e informazioni finanziarie.
Persistenza e meccanismi di avvio automatico
Per garantire che il codice malevolo venga eseguito a ogni avvio del sistema, l’installer crea un collegamento nella cartella di esecuzione automatica e scrive una chiave nel registro di Windows.
Questa doppia strategia di persistenza assicura che il malware sopravviva ai riavvii e rimanga attivo nel tempo, complicando la rimozione e aumentando la finestra utile per la raccolta dei dati. Rimuovere solo il file eseguibile senza cancellare le tracce di avvio può non essere sufficiente per interrompere l’attività malevola.
Contratti pratici: come riconoscere e rimuovere la minaccia
La prima regola è verificare sempre la fonte degli aggiornamenti: gli unici canali ufficiali per scaricare patch e upgrade di Windows sono Windows Update e il Microsoft Update Catalog. Se il download arriva da un sito esterno o un link inaspettato, sospendete l’installazione. Se si sospetta un’infezione, è fondamentale cambiare immediatamente tutte le password salvate nei browser e nelle applicazioni che potrebbero essere state compromesse.
L’uso di autenticazione a due fattori riduce significativamente il rischio anche se le credenziali vengono sottratte.
Rimozione e pulizia del sistema
Per eliminare il malware è possibile procedere manualmente rimuovendo i file sospetti, cancellando il collegamento di avvio automatico e le chiavi nel registro, ma questa operazione richiede competenze tecniche. In alternativa usare un antivirus aggiornato o strumenti specializzati di rimozione offre una soluzione più sicura per la maggior parte degli utenti. Dopo la rimozione, monitorare account e transazioni finanziarie per identificare eventuali attività fraudolente rimane una buona pratica.
In conclusione, questa campagna mostra come un elemento familiare — il pulsante per aggiornare il sistema — possa essere trasformato in un vettore per un infostealer. Mantenere prudenza nella navigazione, controllare gli URL prima di scaricare file e affidarvisi esclusivamente alle fonti ufficiali rimane la miglior difesa contro questo tipo di frodi digitali.
