Occhio al finto upgrade di Windows 11

Il nuovo sistema operativo di Windows è stato rilasciato da pochi mesi nella sua versione definitiva, ma è stato già oggetto delle attenzioni degli hacker, che fin dalla versioni beta del software non hanno lesinato sforzi per operare tentativi di truffa e raggiri. E’ di queste ore la notizia di un nuovo allarme malware che riguarda Windows 11 e che si infetta i PC sfruttando dei falsi programmi di installazione di aggiornamento dell’OS.

Windows 11, è allarme virus

Meno di un mese fa, Microsoft ha annunciato che l’offerta di aggiornamenti a Windows 11 si apprestava ad entrare nella sua fase finale di distribuzione, in anticipo rispetto al piano iniziale che fissava questo momento a metà del 2022. Un momento dunque propizio per i malintenzionati. La tempistica degli attacchi, infatti, coincide proprio con il momento in cui il colosso di Redmond ha dato il via a un’operazione su larga scala di distribuzione di Windows 11. Il momento giusto per  gli hacker per “mimetizzarsi” tra gli update ufficiali e massimizzare il successo della loro operazione.

I computer che vengono a contatto con questa minaccia vengono di fatto infettati dal malware RedLine, al momento il più diffuso e forse peggiore codice malevolo in circolazione. RedLine, infatti, è noto per la sua capacità di rubare letteralmente password, cookie del browser, carte di credito e portafoglio di criptovalute, con conseguenze disastrose per le vittime.

Secondo i ricercatori di HP, che hanno individuato per primi la minaccia, i criminali hanno utilizzato il dominio “windows-upgraded.com” per ingannare gli  utenti e distribuire il malware. Il sito in questione somiglia molto, in effetti, a un vero sito Microsoft. Ma cliccando sul pulsante “Scarica ora”, la vittima scarica un archivio ZIP da 1,5 MB denominato “Windows11InstallationAssistant.zip”, recuperato direttamente da una CDN di Discord, che non installa nessun update di Windows 11, ma, una volta lanciato, dà l’avvio all’infestazione.

Il software pirata istalla sul computer una DLL con contenuti disposti in forma inversa, possibilmente per eludere il rilevamento e l’analisi. In realtà contiene un payload che include nel codice il RedLine , e che si connette al server di comando e controllo tramite TCP per ottenere istruzioni su quali attività dannose deve eseguire successivamente sul sistema appena compromesso. Al momento il sito incriminato al momento è down: ma attenzione, nulla impedisce ai criminali di creare un nuovo dominio e riavviare la loro campagna.