Una campagna di phishing piuttosto insidiosa sta prendendo di mira gli utenti di Windows attraverso un sito web costruito per sembrare una pagina di assistenza ufficiale Microsoft. Il falso supporto Windows in questione è stato individuato dai ricercatori di Malwarebytes, che hanno lanciato l’allarme: il portale spinge chi lo visita a scaricare quello che sembra un normalissimo aggiornamento del sistema operativo. Solo che non lo è affatto. Dietro quel pulsante blu di download si nasconde un malware progettato per sottrarre password, dati di pagamento e credenziali di accesso agli account personali.
La cosa più inquietante è che il file scaricato, stando a quanto riportato dai ricercatori, “appare legittimo” e riesce a passare inosservato anche ai sistemi di sicurezza installati sul dispositivo. Non parliamo quindi di un tentativo maldestro e facile da smascherare, ma di un attacco ben confezionato, capace di ingannare sia le persone sia i software di protezione.
Il dominio utilizzato per questa campagna è microsoft-update[.]support, un indirizzo volutamente simile a quelli ufficiali di Microsoft. Una tecnica nota come typosquatting, che sfrutta la disattenzione di chi naviga. Il sito è interamente in francese, anche se campagne di questo tipo tendono a diffondersi velocemente verso altri mercati e altre lingue. La pagina presenta un presunto aggiornamento cumulativo per la versione 24H2 di Windows, completo di un numero di articolo KB credibile. Tutto studiato nei minimi dettagli per sembrare autentico.
Come funziona il malware e quali tracce lascia
Malwarebytes ha reso pubblici gli indicatori di compromissione legati a questo falso supporto Windows, fornendo dettagli tecnici utili sia agli esperti sia agli utenti comuni. Il file principale si chiama WindowsUpdate.exe, accompagnato da uno script chiamato AppLauncher.vbs. Entrambi vengono salvati nella cartella AppData dell’utente, in una sottocartella denominata proprio WindowsUpdate.
Il malware sfrutta diversi domini per le sue operazioni: uno per il comando e controllo, uno come relè, un altro per l’esfiltrazione dei dati rubati, più servizi esterni per la geolocalizzazione e la ricerca dell’indirizzo IP della vittima. Tra gli artefatti lasciati nel sistema compare anche un collegamento chiamato Spotify.lnk nella cartella di avvio automatico, un trucco per garantire la persistenza del software malevolo a ogni riavvio del computer.
Cosa fare se si è installato il falso aggiornamento
Chi sospetta di aver scaricato questo aggiornamento fasullo dal sito di falso supporto Windows può seguire una procedura specifica indicata dagli stessi esperti di Malwarebytes. Il primo passo consiste nel controllare il registro di sistema: premendo Windows + R e digitando “regedit“, bisogna navigare fino a HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun e cercare una voce denominata SecurityHealth che punta a WindowsUpdate.exe nella cartella AppData. Se presente, va eliminata.
Successivamente è necessario cercare nella cartella di avvio automatico un file Spotify.lnk che non è stato creato dall’utente e rimuoverlo. Vanno poi cancellate la cartella C:Users\AppData\Local\Programs\WindowsUpdate e i file temporanei in C:Users\App\Data\Local\Temp\WinGettools.
Infine, Malwarebytes raccomanda di cambiare tutte le password memorizzate nel browser e di abilitare l’autenticazione a due fattori su ogni account possibile.