Un file da 83 megabyte, il logo ufficiale di Microsoft, un codice KB dall’aspetto autentico. Apparenza ingannevole. Sotto le sembianze di un comune aggiornamento per Windows 11 si cela un software malevolo progettato per rubare informazioni, capace di estrarre dal browser tutte le credenziali memorizzate, incluse quelle bancarie, e inviarle a un server remoto prima che la vittima possa rendersene conto.
La minaccia è stata individuata dalla società specializzata in sicurezza informatica Malwarebytes, che il 9 aprile 2026 ha diffuso un rapporto tecnico approfondito a cura dell’esperto Stefan Dasic.
Il portale fraudolento e l’installer dannoso
L’origine della truffa è un dominio creato attraverso typosquatting:
microsoft-update[.]support
, una denominazione che a prima vista potrebbe apparire legittima. Il portale, completamente in lingua francese, mostra una pagina dedicata agli aggiornamenti di Windows con un vistoso pulsante blu per procedere allo scaricamento.
Ciò che viene effettivamente scaricato è
WindowsUpdate 1.0.0.msi
, un pacchetto di installazione realizzato con WiX Toolset 4.0.0.5512, strumento open source autentico impiegato anche da programmatori professionisti. Nel campo dedicato all’autore appare “Microsoft”, mentre nei commenti figura la descrizione standard di un aggiornamento di sistema. Il file risulta creato il 4 aprile 2026, cinque giorni prima della scoperta da parte di Malwarebytes.
Meccanismo operativo del software dannoso
La struttura del malware è articolata su più livelli, caratteristica che ne complica il rilevamento. Dopo l’esecuzione del file MSI, vengono installati tre elementi fondamentali: un’applicazione basata su Electron — la medesima tecnologia utilizzata per Visual Studio Code o Slack — che opera come contenitore esterno; un launcher scritto in Visual Basic Script chiamato
AppLauncher.vbs;
e, nel nucleo più profondo, un interprete Python 3.10 rinominato
_winhost.exe
per simulare un processo legittimo del sistema operativo.
È il componente Python a svolgere l’azione dannosa vera e propria. Carica diverse librerie specializzate nel prelievo di informazioni — tra cui
pycryptodome
per cifrare i dati sottratti e
pywin32
per comunicare con le API di Windows — e avvia l’estrazione di credenziali, cookie di navigazione, informazioni di pagamento e token di autenticazione conservati nel browser. Il materiale raccolto viene successivamente inviato a un servizio di condivisione file anonimo: gofile[.]io.
Il codice malevolo effettivo è celato all’interno di due file JavaScript pesantemente offuscati, integrati nell’applicazione Electron. Al momento dell’esame, nessuno dei 69 motori antivirus analizzati su VirusTotal aveva identificato l’eseguibile principale come dannoso.
Persistenza dopo il riavvio e mimetizzazione
Il malware adotta due strategie distinte per garantirsi la permanenza nel sistema. La prima consiste nella creazione di una chiave di registro denominata
SecurityHealth
— denominazione che richiama il servizio Windows Defender — che rimanda all’eseguibile del falso aggiornamento. La seconda strategia prevede l’inserimento nella cartella di avvio automatico di un collegamento chiamato
Spotify.lnk
, un nome sufficientemente diffuso da non insospettire nemmeno gli addetti alla sicurezza informatica.
La Francia nel mirino
La scelta di colpire utenti francofoni non è accidentale. Negli ultimi ventiquattro mesi la Francia ha registrato alcune delle violazioni di dati più significative in Europa: Free, secondo fornitore internet nazionale, ha confermato nell’ottobre 2024 l’accesso illegittimo ai dati di circa 19 milioni di contratti, compresi gli estremi bancari. France Travail, l’agenzia pubblica per l’occupazione, ha subito nel 2024 un attacco che ha compromesso le informazioni di 43 milioni di persone. In questo scenario, sviluppare una pagina di phishing localizzata in francese comporta costi minimi per chi possiede già nominativi, indirizzi e provider delle potenziali vittime.
Misure di protezione
Gli aggiornamenti per Windows devono essere scaricati unicamente attraverso Impostazioni > Windows Update oppure dal Catalogo ufficiale di Microsoft Update. Qualunque portale esterno che proponga file di aggiornamento deve essere considerato potenzialmente pericoloso, a prescindere dalla qualità della presentazione grafica.
Chi teme di aver installato il falso aggiornamento dovrebbe: controllare nella chiave di registro
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
l’eventuale presenza di una voce chiamata
SecurityHealth
che rimanda a
WindowsUpdate.exe
nella cartella AppData; verificare l’esistenza di un file
Spotify.lnk
nella cartella di avvio; modificare immediatamente tutte le password memorizzate nel browser; abilitare l’autenticazione a due fattori per gli account email e bancari.
Fonte: malwarebytes.com