I ricercatori di Malwarebytes hanno individuato un sito di supporto tecnico che sembra quello di Microsoft. Nella pagina c’è un pulsante per scaricare l’aggiornamento a Windows 11 24H2. Si tratta invece di un infostealer che ruba diverse informazioni sensibili dal computer. I più attenti possono facilmente scoprire l’inganno.
Descrizione dell’attacco e consigli
Gli attacchi riguardano principalmente gli utenti francesi (il sito fake è in francese), ma la tecnica utilizzata può essere velocemente adattata per altri paesi. Non è noto quale “esca” sia stata sfruttata per portare le ignare vittime sul sito (probabilmente in seguito ad una ricerca su Google o tramite phishing). Quando si clicca sul pulsante di download viene scaricato un installer MSI da 83 MB (troppo piccolo per essere un aggiornamento di Windows 11, ndr).
L’installer copia sul computer uno script VBScript che lancia un’app Electron, il cui file eseguibile è WindowsUpdate.exe. L’app è una versione ridotta di Chrome con codice JavaScript che nasconde il payload principale, ovvero un infostealer. In questo caso intercetta i token di accesso a Discord e i dettagli di pagamento.
Il malware mantiene la persistenza aggiungendo un link alla cartella di esecuzione automatica e una chiave al registro di Windows, quindi viene eseguito automaticamente ad ogni avvio. Oltre al furto dei dati raccoglie varie informazioni sul computer, come l’indirizzo IP. Tutti i dati sono quindi inviati al servizio Gofile che consente di caricare file in modo gratuito e anonimo.
In caso di infezione devono essere cambiate tutte le password salvate nel browser ed eliminata ogni traccia del malware (manualmente o tramite un antivirus aggiornato). I ricercatori di Malwarebytes consigliano di verificare l’URL dei siti, ma soprattutto ricordano agli utenti che le uniche fonti ufficiali per scaricare gli aggiornamenti di Windows sono Windows Update e Microsoft Update Catalog.
Ti potrebbe interessare
10 apr 2026