Un file di aggiornamento apparentemente legittimo, completo di nome credibile e dimensioni coerenti con un pacchetto cumulativo, rappresenta oggi una delle minacce più concrete per gli utenti Windows.
La campagna che sfrutta il riferimento a Windows 11 24H2 segna un salto qualitativo rispetto ai classici falsi update: codice offuscato, strumenti legittimi riutilizzati e zero rilevamenti iniziali da parte degli antivirus. I ricercatori di sicurezza inseriscono questo fenomeno in una crescita costante degli attacchi basati su social engineering, con un aumento significativo delle infezioni legate a installer malevoli camuffati da software ufficiale.
Il vettore di attacco è sofisticato e costruito per ingannare anche utenti esperti. Il punto di partenza è un sito clone del supporto Microsoft, ospitato su domini ingannevoli come microsoft-update.support, che riproduce fedelmente l’interfaccia ufficiale. Il file proposto è un pacchetto MSI da circa 83 MB, denominato WindowsUpdate 1.0.0, realizzato con WiX Toolset, un framework open source usato anche da software legittimi. Nei metadati compare Microsoft come autore e la struttura interna rispetta quella di un installer reale, riducendo drasticamente i sospetti già al primo controllo.
Falso aggiornamento Windows 11 24H2: perché gli antivirus non lo rilevano
Al momento dell’analisi, il malware non veniva identificato da nessun motore antivirus testato su VirusTotal.
Un risultato non casuale: il codice malevolo è nascosto all’interno di un contenitore Electron, tecnologia comunemente usata per applicazioni desktop legittime. L’installer contiene più componenti separati: un credential stealer che sfrutta funzioni crittografiche come PBKDF2, SHA-256 e AES per estrarre password, cookie e dati sensibili dai browser, e un modulo dedicato ad applicazioni come Discord, capace di modificare il codice locale per intercettare token e dati di pagamento. La combinazione di offuscamento JavaScript, esecuzione tramite processi apparentemente legittimi e caricamento dinamico dei payload rende inefficaci i sistemi di rilevamento basati su firme tradizionali.
Cosa viene sottratto e quali rischi comporta
Una volta eseguito, il falso aggiornamento avvia la raccolta silenziosa di credenziali di accesso, cookie di sessione e dati finanziari.
Il rischio non si esaurisce nel furto immediato: i cookie di sessione permettono di bypassare l’autenticazione a due fattori, mentre i token intercettati consentono agli attaccanti di mantenere il controllo sugli account anche dopo un cambio password.
La campagna sfrutta anche tecniche di typosquatting con pagine localizzate in più lingue per colpire target geografici precisi, con numeri KB plausibili e interfacce curate per superare la diffidenza degli utenti più attenti.
Come proteggersi in modo efficace
La regola fondamentale è semplice: Windows non distribuisce mai aggiornamenti tramite pagine web esterne.
Qualsiasi richiesta di download manuale dal browser va considerata sospetta, indipendentemente dall’aspetto della pagina. Sul piano tecnico, una protezione efficace richiede più livelli: filtraggio DNS per bloccare domini malevoli, monitoraggio comportamentale del sistema e autenticazione multifattore per limitare i danni in caso di compromissione.
Gli antivirus tradizionali restano utili, ma non possono essere l’unica difesa contro minacce progettate per eluderli. Questo attacco conferma una tendenza precisa: gli attaccanti investono sempre più nella qualità dell’inganno, puntando sull’errore umano anziché sugli exploit tecnici.
/https://www.ilsoftware.it/app/uploads/2026/04/redsun-vulnerabilita-zero-day-windows.jpg "Venerdì 17 per Windows: zero-day RedSun sfrutta Defender e concede privilegi SYSTEM")
/https://www.ilsoftware.it/app/uploads/2026/01/persistenza-malware-invisibile-registro-windows-EDR.jpg "Falso installer Claude AI sfruttato per diffondere il malware PlugX")
/https://www.ilsoftware.it/app/uploads/2026/04/patch-tuesday-aggiornamenti-critici-aprile-2026.jpg "Microsoft Patch Tuesday aprile 2026: oltre 240 vulnerabilità, exploit attivi e rischio attacchi")
/https://www.ilsoftware.it/app/uploads/2023/06/malware-hacker.jpg "App fake su App Store: musicista perde tutti i risparmi")