Gli esperti di Malwarebytes hanno scoperto un falso sito web di supporto Microsoft per Windows che sta distribuendo un pericoloso malware in grado di rubare le password private a ignari utenti. Il meccanismo è tanto semplice quanto insidioso. Infatti, la pagina web spinge l’utente a scaricare quello che all’apparenza sembra un normale aggiornamento di Windows.
In realtà, la vittima sta installando un malware progettato per rubare password, dettagli di pagamento e accesso agli account dell’utente. L’elemento più preoccupante, come riferiscono i ricercatori, è che il file “appare legittimo” e riesce a eludere i sistemi di rilevamento. In questo modo può sfuggire non solo agli utenti, ma anche agli strumenti di sicurezza installati sul dispositivo.
“Abbiamo individuato la campagna su microsoft-update[.]support, un dominio typosquatted camuffato per sembrare una pagina di supporto ufficiale di Microsoft“, si legge sul comunicato stampa di Malwarebytes. “Il sito è interamente in francese (ma queste campagne tendono a diffondersi rapidamente) e presenta un falso aggiornamento cumulativo per la versione 24H2 di Windows, completo di un plausibile numero di articolo KB. Un grande pulsante blu di download invita gli utenti a installare l’aggiornamento“.
Come riconoscere il falso supporto Windows
Malwarebytes ha reso pubblici gli indicatori di compromissione relativi al falso sito web di supporto Microsoft per Windows che sta distribuendo un pericoloso malware.
- Hash dei file (SHA-256)
- 13c97012b0df84e6491c1d8c4c5dc85f35ab110d067c05ea503a75488d63be60 ( WindowsUpdate.exe)
- c94de13f548ce39911a1c55a5e0f43cddd681deb5a5a9c4de8a0dfe5b082f650 ( AppLauncher.vbs)
- Domini
- microsoft-update[.]support(esca di phishing)
- datawebsync-lvmv[.]onrender[.]com(C2)
- sync-service[.]system-telemetry[.]workers[.]dev(Relè C2)
- store8[.]gofile[.]io (esfiltrazione)
- www[.]myexternalip[.]com (Ricerca IP)
- ip-api[.]com (geolocalizzazione)
- Artefatti del file system
- C:\Users\<USER>\AppData\Local\Programs\WindowsUpdate\WindowsUpdate.exe
- C:\Users\<USER>\AppData\Local\Programs\WindowsUpdate\AppLauncher.vbs
- C:\Users\<USER>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Spotify.lnk
Cosa fare se hai installato questo aggiornamento
Se pensi di aver installato questo aggiornamento infetto dal falso sito di supporto per Windows segui la procedura consigliata dagli esperti di Malwarebytes.
- Controlla la chiave di registro premendo sulla tastiera Windows + R e digitando “regedit” e premendo invio. Vai a HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Cerca una voce denominata SecurityHealthche punta a WindowsUpdate.exe nella cartella AppData ed eliminala.
- Cerca un Spotify.lnkfile nella cartella Avvio che non hai creato e rimuovilo Elimina la cartella C:\Users<USER>\AppData\Local\Programs\WindowsUpdate\.
- Cancella i file temporanei in C:\Users<USER>\AppData\Local\Temp\WinGet\tools\.
- Cambia tutte le password memorizzate nel tuo browser.
- Abilita l’autenticazione a due fattori.
