È stata rilevata una campagna di upgrade non ufficiale di Windows 11 che porta con sé una brutta sorpresa, come ogni download da marketplace insicuri: il finto aggiornamento, infatti, scarica sul computer della vittima una variante del malware Inno Stealer, un info-stealing che ruba informazioni dai browser e dai portafogli digitali di criptovalute.
“La campagna individuata dagli esperti di CloudSEK”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “è l’ennesima riprova dell’efficienza dell’ingegneria sociale”.
Ecco i dettagli della campagna malevola e le soluzioni di mitigazione per proteggersi dalla minaccia.
Indice degli argomenti
L’info-stealing nascosto nell’upgrade non ufficiale di Windows
La campagna di diffusione del finto aggiornamento per Windows 11 è tuttora attiva e utilizza la tecnica di “avvelenamento” dei risultati sui motori di ricerca. In particolare, grazie al Black Hat SEO, il malware è in grado di spingere in alto fra i risultati sui search engine un sito che imita la pagina promozionale di Microsoft per Windows 11.
Invece del download dell’upgrade del sistema operativo di Microsoft, però, l’utente scarica un pericoloso information stealer.
Per rendere ancora più credibile la trappola, il sito fake imita il logo ufficiale di Microsoft, copia i favicon e presenta anche un pulsante “Download Now” da cui scaricare il finto aggiornamento per il sistema operativo. Ma, ovviamente, non si tratta dello store ufficiale di Microsoft, bensì di un falso.
I criminal hacker, in particolare, cercano di convincere gli utenti a scaricare e installare l’aggiornamento non ufficiale per Windows 11 senza perdere tempo a controllare quali specifiche richieda la versione del sistema operativo installata sul computer.
Ricordiamo che, proprio per evitare truffe del genere, Microsoft rende disponibile sullo store ufficiale un tool per l’upgrade di Windows 11 che controlla se il computer è compatibile con l’ultima versione disponibile del sistema operativo e richiede il supporto della versione 2.0 del Trusted Platform Module (TPM), un modulo crittografico hardware che è presente su macchine recenti: non più vecchie di quattro anni.
“È interessante notare come questo info-stealer non presenti similitudini con malware della stessa famiglia e come lo stesso sia stato concepito per eludere soluzioni di difesa, arrivando persino a disabilitare software antivirus in grado di rilevarlo. Tali informazioni suggeriscono che il gruppo criminale dietro la campagna abbia discrete capacità tecniche e disponga di competenze tali da poter arrecare danni ad un numero significativo di utenti”, mette in guardia Paganini.
Il vettore d’attacco di Inno Stealer
Secondo CloudSEK, la conferma del fatto che gli attori dietro questa campagna stanno usando il malware Inno Stealer è data dal fatto che viene sfruttato l’Inno Setup Windows installer.
Inno Stealer, lo ricordiamo, è un info-stealing che non presenta somiglianze di codice di altri info-stealer attualmente in circolo.
Il loader file (Delphi-based) è un eseguibile “Windows 11 setup” contenuto nella ISO. Quando l’utente lo lancia:
- scarica un file temporaneo che si chiama is-PN131.tmp;
- crea un altro file .TMP;
- su di esso il loader scrive 3,078 KB di dati.
CloudSEK spiega che il loader diffonde un nuovo processo usando il CreateProcess Windows API che aiuta, appunto, ad avviare nuovi processi, stabilire la persistenza e impiantare quattro differenti file malevoli necessari al funzionamento del malware stesso.
Nuova campagna d’ingegneria sociale e Black hat SEO
La tecnica del social engineering, infatti, anche in questo caso “è utilizzata per ingannare gli utenti intenzionati a installare l’ultima versione del sistema operativo Microsoft”, continua Paganini.
“Agli utenti in cerca di informazioni sui principali motori di ricerca su come installare Windows 11” il cyber crime propone “risultati che li indirizzano a siti concepiti per apparire come legittimi”. Invece, “chiedono loro di scaricare file che una volta in esecuzione avviano il processo di infezione”.
Infatti, “la tecnica di avvelenamento dei motori di ricerca è consolidata nell’ecosistema criminale e prende il nome di Black Hat SEO“, conclude Paganini.
Come proteggersi dall’info-stealing
La regola per proteggersi è non effettuare mai download da marketplace non ufficiali. I siti fake, che appaiono anche in alto sui motori di ricerca, sono sempre in agguato.
Non bisogna mai installare app che non provengano dal marketplace ufficiale di Microsoft per Windows o, in altri casi, dall’App Store ufficiale del proprio smartphone, iPhone o Android. Il motivo è semplice: possono contenere malware come l’info-stealing in questione.
Non bisogna mai fidarsi, quindi, quando si effettua una ricerca sui motori di ricerca per cercare il link di un download o si riceve un link da sconosciuti. Invece, occorre digitare sul sito ufficiale di Microsoft e scaricare la nuova versione dallo store ufficiale.
Inoltre, gli utenti devono diventare più consapevoli dei rischi legati a social engineering e Black Hat SEO per evitare di cadere in queste trappole, in cui l’utente finisce per scaricare malware come l’info-stealing.
