Tra le minacce informatiche più insidiose di questo periodo spicca un falso aggiornamento Windows 11 24H2 che sta mettendo in seria difficoltà anche gli utenti più smaliziati. Non si tratta del solito tentativo grossolano: qui parliamo di un file che sembra in tutto e per tutto un pacchetto cumulativo legittimo, con nome credibile, dimensioni coerenti e perfino i metadati giusti. Il livello di sofisticazione è tale che, al momento delle prime analisi, nessun motore antivirus su VirusTotal era in grado di rilevarlo. E questo, ovviamente, cambia parecchio le carte in tavola.
Il meccanismo funziona così. Tutto parte da un sito clone del supporto Microsoft, ospitato su domini ingannevoli come microsoft-update.support, costruito per replicare in modo fedele l’interfaccia ufficiale. Da lì viene proposto il download di un pacchetto MSI da circa 83 MB, chiamato WindowsUpdate 1.0.0, realizzato con WiX Toolset, un framework open source che viene usato anche per software del tutto legittimi. Nei metadati del file compare Microsoft come autore, e la struttura interna ricalca quella di un installer reale. Il risultato è che anche un controllo superficiale non fa scattare campanelli d’allarme.
La campagna si inserisce in una tendenza più ampia, con un aumento significativo degli attacchi basati su social engineering e installer malevoli camuffati da software ufficiale. Non è più solo questione di exploit tecnici: gli attaccanti investono sempre più nella qualità dell’inganno, puntando sull’errore umano.
Perché gli antivirus non riescono a intercettarlo
Il motivo per cui questo malware sfugge ai controlli è tutt’altro che banale. Il codice malevolo è nascosto dentro un contenitore Electron, una tecnologia comunemente impiegata per applicazioni desktop legittime. Questo da solo basta a confondere i sistemi di rilevamento tradizionali basati su firme. Ma c’è di più: l’installer contiene componenti separati, ciascuno con un compito preciso. Un credential stealer sfrutta funzioni crittografiche come PBKDF2, SHA-256 e AES per estrarre password, cookie e dati sensibili direttamente dai browser. Un altro modulo prende di mira applicazioni come Discord, modificandone il codice locale per intercettare token di autenticazione e dati di pagamento.
La combinazione di offuscamento JavaScript, esecuzione tramite processi apparentemente innocui e caricamento dinamico dei payload rende praticamente inefficaci i classici sistemi di protezione. Non è un caso che il falso aggiornamento Windows 11 24H2 abbia ottenuto zero rilevamenti iniziali.
Cosa viene rubato e come difendersi
Una volta mandato in esecuzione, il file avvia la raccolta silenziosa di credenziali di accesso, cookie di sessione e dati finanziari. Il problema non si ferma al furto immediato. I cookie di sessione sottratti permettono di aggirare l’autenticazione a due fattori, mentre i token intercettati consentono agli attaccanti di mantenere il controllo sugli account anche dopo un cambio password. La campagna sfrutta anche tecniche di typosquatting con pagine localizzate in più lingue, pensate per colpire aree geografiche specifiche, con numeri KB plausibili e interfacce curate nei minimi dettagli.
Per proteggersi vale una regola fondamentale: Windows non distribuisce mai aggiornamenti tramite pagine web esterne. Qualsiasi richiesta di download manuale dal browser va considerata sospetta, a prescindere da quanto la pagina sembri autentica. Sul piano tecnico, una difesa efficace richiede più livelli: filtraggio DNS per bloccare domini malevoli, monitoraggio comportamentale del sistema e autenticazione multifattore per limitare i danni in caso di compromissione. Gli antivirus tradizionali restano utili, ma da soli non possono bastare contro minacce progettate appositamente per eluderli.
