Un sito falso distribuisce un malware camuffato da aggiornamento cumulativo Windows 11: ruba password, credenziali bancarie e dati di pagamento, invisibile a 69 antivirus.
Marco Crisciotti
18 Aprile 2026
Un pacchetto da 83 megabyte, l’icona di Microsoft, un numero di articolo KB plausibile. Tutto finto. Dietro quello che sembra un normale aggiornamento cumulativo per Windows 11 si nasconde un infostealer (dei software spia dannosi il cui ruolo principale è quello di rubare informazioni personali e sensibili dal dispositivo della vittima) in grado di svuotare il browser delle credenziali salvate, compresi i dati bancari, e di trasmetterle a un server anonimo prima che l’utente si accorga di qualcosa.A scoprire la campagna è stata la società di cybersicurezza Malwarebytes, che il 9 aprile 2026 ha pubblicato un’analisi tecnica dettagliata firmata dal ricercatore Stefan Dasic.
Il sito truffa e il file MSI
Il punto di partenza è un dominio registrato tramite typosquatting: microsoft-update[.]support, una stringa che a colpo d’occhio potrebbe sembrare autentica. Il sito, interamente in francese, presenta una pagina di aggiornamento Windows con tanto di pulsante blu per il download.
Ciò che si scarica è WindowsUpdate 1.0.0.msi, un file di installazione costruito con WiX Toolset 4.0.0.5512, framework open source legittimo utilizzato anche da sviluppatori professionisti. Nel campo “Autore” compare “Microsoft”, nel campo “Commenti” la dicitura corretta per un update di sistema. Generato il 4 aprile 2026, quattro giorni prima che Malwarebytes lo individuasse.
Come funziona il malware
L’architettura del malware è a strati, ed è proprio questa struttura a renderlo difficile da intercettare. Una volta eseguito il file MSI, vengono installati tre componenti principali: un’applicazione Electron — la stessa tecnologia alla base di Visual Studio Code o Slack — che funge da involucro esterno; un launcher in Visual Basic Script denominato AppLauncher.vbs; e, in profondità, un interprete Python 3.10 rinominato _winhost.exe per sembrare un processo di sistema.
È il layer Python a fare il lavoro sporco. Carica una serie di librerie specializzate nel furto di dati — tra cui pycryptodome per cifrare il bottino e pywin32 per interagire con le API di Windows — e avvia la raccolta di credenziali, cookie di sessione, dati di pagamento e token di autenticazione salvati nel browser. Il tutto viene poi trasmesso a un servizio di condivisione file anonimo: gofile[.]io.
Il codice dannoso vero e proprio è nascosto all’interno di due file JavaScript fortemente offuscati, incorporati nell’applicazione Electron. Al momento dell’analisi, nessuno dei 69 antivirus testati su VirusTotal ha segnalato il file eseguibile principale come malevolo.
Sopravvive al riavvio, si maschera da Spotify
Il malware implementa due meccanismi di persistenza separati. Il primo scrive una chiave di registro chiamata SecurityHealth — nome che imita il servizio Windows Defender — che punta all’eseguibile del falso aggiornamento. Il secondo crea nella cartella di avvio automatico un collegamento denominato Spotify.lnk, un nome abbastanza comune da non destare sospetti nemmeno al personale IT.
Perché il bersaglio è la Francia
La scelta degli utenti francofoni non è casuale. Negli ultimi due anni la Francia ha subito alcune delle più gravi violazioni di dati d’Europa: Free, secondo operatore internet del paese, ha confermato nell’ottobre 2024 l’accesso non autorizzato ai dati di circa 19 milioni di contratti, incluse coordinate bancarie. France Travail, il servizio pubblico per l’impiego, ha subito nel 2024 un attacco che ha esposto i dati di 43 milioni di persone. In questo contesto, costruire una pagina di phishing localizzata in francese ha un costo marginale per chi dispone già di nomi, indirizzi e ISP delle vittime.
Come proteggersi
Gli aggiornamenti di Windows si scaricano esclusivamente tramite Impostazioni > Windows Update o dal Catalogo di Microsoft Update. Qualsiasi sito esterno che proponga un file di aggiornamento è da considerare sospetto, indipendentemente da quanto convincente sia l’aspetto grafico.
Chi sospetta di aver installato il falso aggiornamento dovrebbe: cercare nella chiave di registro HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run una voce denominata SecurityHealth che punta a WindowsUpdate.exe nella cartella AppData; verificare la presenza di un file Spotify.lnk nella cartella di avvio; cambiare tutte le password salvate nel browser; attivare l’autenticazione a due fattori sugli account email e bancari.
Fonte: malwarebytes.com
Leggi anche:
Fonte:
www.greenme.it
