Ricercatori di sicurezza hanno identificato un nuovo schema di malvertising che sfrutta annunci su Facebook per diffondere un falso installer di Windows 11. Negli ultimi casi analizzati, gli annunci riproducono logo e grafica Microsoft e invitano a un presunto upgrade gratuito; il file fornito contiene invece un malware progettato per il furto di credenziali e dati di wallet crypto.
Metodo della campagna
La campagna si basa sulla creazione di pagine web che imitano fedelmente l’interfaccia del sito ufficiale Microsoft. L’unica differenza risiede nei domini utilizzati, spesso registrati per apparire legittimi.
Gli annunci, realizzati con grafica professionale, rimandano a queste pagine. Molti utenti scaricano l’eseguibile convinti di eseguire un aggiornamento ufficiale, mentre il file installa componenti malevoli per esfiltrare dati.
Malvertising indica l’uso di annunci online per distribuire codice dannoso mascherato da contenuto legittimo. In questo caso la vettorialità è l’annuncio su piattaforme social, predominante su Facebook.
Le indagini sono in corso e le piattaforme interessate sono state informate per la rimozione degli annunci e il blocco dei domini falsificati.
Meccanismo della truffa e modalità di distribuzione
Le indagini proseguono dopo la segnalazione alle piattaforme interessate. L’attacco si avvia da un annuncio che reindirizza a una pagina clone del sito originale.
Cliccando il pulsante di download l’utente riceve un file denominato ms-update32.exe (circa 75 MB). Il file è ospitato su servizi che forniscono certificati HTTPS validi, come GitHub, e questo limita gli avvisi del browser.
La combinazione di una pagina visivamente efficace e di un certificato apparentemente legittimo aumenta la probabilità che l’utente proceda con l’installazione.
Selezione delle vittime e tecniche anti-analisi
Il payload esegue controlli ambientali prima di attivarsi. Verifica la presenza di macchine virtuali, debugger o strumenti di analisi e rileva indirizzi IP associati a data center.
Se l’ambiente sembra essere destinato all’analisi o alla ricerca, il malware si disattiva o reindirizza l’esecuzione. In presenza di sistemi ritenuti “reali”, invece, procede con l’esecuzione del payload.
Questo comportamento riduce la visibilità dell’attività malevola nelle analisi automatizzate e aumenta la persistenza dell’infrastruttura criminale.
Cosa fa il malware una volta eseguito
Dopo l’attivazione, il programma ricrea la struttura di un’applicazione Electron sotto %AppData%\\LunarApplication.
Avvia quindi script PowerShell offuscati dalla cartella %TEMP%. Il codice agisce come un infostealer che estrae password salvate, cookie di sessione, file di wallet e seed phrase delle criptovalute. I dati raccolti vengono compressi e inviati ai server controllati dagli autori dell’attacco.
Persistenza e tecniche di occultamento
Per garantire l’esecuzione dopo i riavvii, il malware aggiunge una chiave nel registro di Windows sotto HKEY_LOCAL_MACHINE\\SYSTEM\\Software\\Microsoft\\TIP\\AggregateResults, sfruttando un ramo che può apparire legittimo. Impiega inoltre process injection, offuscamento con algoritmi come RC4 e XOR e la cancellazione dei file temporanei per rimuovere tracce. Queste tecniche riducono la visibilità nelle analisi automatizzate e complicano le attività di risposta e di indagine forense.
Indicatori tecnici e raccomandazioni operative
I ricercatori hanno individuato indicatori utili per le operazioni di difesa informatica legate alla campagna maligna descritta in precedenza. Tra gli elementi di identificazione figurano un hash SHA-256 e domini con varianti ingannevoli del termine 25H2, oltre all’uso di account pubblicitari multipli e Pixel ID distinti per garantire ridondanza e persistenza.
L’hash SHA-256 associato al file malevolo è c634838f255e0a691f8be3eab45f2015f7f3572fba2124142cf9fe1d227416aa. I domini osservati impiegano varianti lessicali per confondere filtri e analisti. Queste tecniche seguono la strategia descritta ed estendono la capacità della campagna di eludere controlli automatizzati, complicando le attività di risposta e di indagine forense.
Le azioni operative raccomandate per la mitigazione sono le seguenti. Innanzitutto evitare l’accesso a servizi sensibili dal dispositivo sospetto fino a completa verifica. Quindi eseguire una scansione approfondita con un antivirus affidabile e aggiornato.
Successivamente, tutte le credenziali andrebbero reimpostate esclusivamente da dispositivi considerati puliti. Per gli asset in criptovalute è consigliabile trasferire fondi su nuovi wallet generati da seed non compromessi. Tale procedura riduce il rischio di furto persistente derivante da compromissioni pregresse.
Le organizzazioni dovrebbero inoltre monitorare indicatori di compromissione correlati, aggiornare regole di blocco per i domini sospetti e rivedere le impostazioni degli account pubblicitari per identificare account duplicati o Pixel non autorizzati. L’adozione di queste misure facilita le attività di containment e accelera le indagini tecniche.
Prevenzione e buone pratiche
L’adozione delle misure indicate facilita le attività di containment e accelera le indagini tecniche. Per ridurre il rischio è essenziale aggiornare Windows esclusivamente tramite Windows Update e non scaricare pacchetti da link presenti sui social. Abilitare l’autenticazione a due fattori e adottare gestori di password affidabili aumenta la resilienza degli account. Mantenere attive soluzioni di sicurezza con protezione comportamento contribuisce a limitare la superficie d’attacco.
Per i team IT e gli amministratori di rete è opportuno bloccare i domini sospetti a livello DNS o proxy e monitorare esecuzioni anomale di PowerShell. Segnali da osservare includono parametri non usuali come -ExecutionPolicy Unrestricted. La ricerca di cartelle e file specifici può agevolare l’individuazione di compromissioni: ad esempio \\AppData\\Roaming\\LunarApplication e script temporanei con estensioni come .yiz.ps1 o .unx.ps1. Queste pratiche supportano le attività di remediation e la riduzione del rischio operativo.
Queste pratiche supportano le attività di remediation e la riduzione del rischio operativo. Microsoft non promuove aggiornamenti di sistema tramite annunci su Facebook o altri social network. L’unica via sicura per aggiornare il sistema operativo è quella integrata, tramite Windows Update nelle impostazioni del dispositivo. Verificare le comunicazioni sui canali ufficiali riduce il rischio di phishing e distribuzione di software malevolo.
