Una nuova campagna fraudolenta sta diffondendo una truffa molto pericolosa su Facebook che riguarda false offerte di Windows, il noto sistema operativo di Microsoft. I ricercatori di Malwarebytes hanno spiegato che gli hacker stanno pubblicando annunci a pagamento sulla famosa e diffusa piattaforma social spacciandoli per promozioni ufficiali di Microsoft.
Se l’utente cade nella trappola, una volta che clicca su Download non scarica la versione ufficiale del sistema operativo, ma un programma di installazione dannoso. L’obiettivo di questo virus è quello di rubare password salvate, sessioni del browser e dettagli di pagamento. Insomma, un rischio particolarmente elevato dalle conseguenze devastanti per chi non si accorge della frode.
Come sempre, quello che colpisce maggiormente è la qualità elevata con cuoi vengono realizzate queste trappole. Gli annunci sembrano proprio ufficiali. Inoltre, il fatto che un’offerta per scaricare Windows a prezzo interessante tramite un annuncio su Facebook rende tutto ancora più credibile e non di certo una truffa. Peccato però che è già da diverso tempo che Facebook approva annunci che sono vere e proprie truffe.
Gli elementi per riconoscere la truffa su Facebook dell’offerta Windows
Esistono degli elementi che permettono a tutti gli utenti di riconoscere la nuova truffa che su Facebook sta diffondendo una falsa offerta di Windows. Prima di tutto i domini dei link. Quando si clicca per il download la vittima non viene riportata al sito ufficiale di Microsoft, che sarebbe “microsoft.com”, ma a uno di questi domini:
- download[.]pro
- ms-25h2-aggiornamento[.]pro
- download[.]pro
- ms25h2-aggiornamento[.]pro
Un altro elemento singolare lo hanno spiegato i ricercatori di Malwarebytes: “Il ‘25H2‘ nei nomi di dominio è intenzionale. Imita la convenzione di denominazione utilizzata da Microsoft per Windows : 24H2, la versione attuale, era sulla bocca di tutti quando è stata lanciata questa campagna, rendendo i domini falsi plausibili a prima vista“.
Indicatori di compromesso
Di seguito tutti gli indicatori di compromesso della truffa dei falsi annunci Windows su Facebook.
- Hash del file (SHA-256)
- c634838f255e0a691f8be3eab45f2015f7f3572fba2124142cf9fe1d227416aa (ms-update32.exe)
- Domini
- download[.]pro
- ms-25h2-aggiornamento[.]pro
- download[.]pro
- ms25h2-aggiornamento[.]pro
- raw.githubusercontent.com/preconfigured/dl/refs/heads/main/ms-update32.exe (URL di consegna del payload)
- Artefatti del file system
- C:\Users\<USER>\AppData\Roaming\LunarApplication\
- C:\Users\<USER>\AppData\Local\Temp\[random].yiz.ps1
- C:\Users\<USER>\AppData\Local\Temp\[random].unx.ps1
- Registro
- HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\TIP\AggregateResults (dati binari di grandi dimensioni — persistenza)
- Infrastruttura Facebook
- ID pixel: 1483936789828513
- ID pixel: 955896793066177
- ID campagna: 52530946232510
- ID campagna: 6984509026382
