Una nuova campagna malevola sta colpendo utenti in Europa sfruttando un elemento in apparenza affidabile: gli aggiornamenti di sistema. I criminali informatici hanno messo in piedi una copia molto convincente delle pagine di assistenza Microsoft, con l’obiettivo di indurre le vittime a scaricare un falso aggiornamento per Windows 11. La tecnica non è nuova, ma in questo caso è stata raffinata con grande attenzione ai dettagli. Il risultato è una trappola capace di sembrare legittima anche a un primo controllo visivo, tanto da mettere in difficoltà persino alcuni strumenti automatici di sicurezza.
Falso aggiornamento Windows 11 e siti clone
Secondo le segnalazioni di Malwarebytes, i cybercriminali hanno costruito una rete di domini che imitano quasi perfettamente il portale di supporto Microsoft. I siti riprendono logo, colori, impaginazione e persino i riferimenti tecnici tipici dei pacchetti di aggiornamento, così da apparire credibili agli occhi dell’utente.
Il meccanismo si basa sul typosquatting, una pratica che sfrutta indirizzi web molto simili a quelli originali, con variazioni minime e facili da ignorare. In questo modo, chi cerca un update online può ritrovarsi su una pagina contraffatta senza accorgersene.
La strategia funziona perché punta tutto sulla normalità. Un pulsante di download ben visibile, una descrizione tecnica plausibile e il classico numero KB bastano a creare fiducia e a spingere l’utente a procedere con l’installazione.
Il file MSI che nasconde il malware
Il pacchetto proposto viene presentato come un aggiornamento chiamato “WindowsUpdate 1.0.0”, in formato MSI e con metadati costruiti per sembrare autentici. Nei dettagli compaiono riferimenti a Microsoft e richiami alle modalità tipiche di distribuzione dei software di sistema.
Dietro questa facciata, però, si nasconde un codice dannoso. Per renderlo meno sospetto, gli autori hanno usato strumenti legittimi e diffusi come WiX Toolset, spesso impiegato dagli sviluppatori per creare installer regolari. Questo rende più difficile distinguere un file innocuo da uno malevolo solo dall’aspetto esterno.
Inoltre, il malware viene inserito in un contesto basato su Electron, una tecnologia comune nelle applicazioni desktop. È una scelta studiata per camuffare ulteriormente il contenuto e ridurre le probabilità di rilevamento immediato.
Perché la difesa migliore resta il comportamento dell’utente
Uno degli aspetti più insidiosi di questa minaccia è che può superare alcuni controlli automatici senza essere segnalata come pericolosa. Ciò non significa che il file sia sicuro: molti antivirus si basano su firme, reputazione e analisi comportamentali, e un malware nuovo può restare temporaneamente sotto traccia.
Il vero rischio, però, nasce spesso dalle abitudini di navigazione. Cercare aggiornamenti tramite motori di ricerca, cliccare su link trovati online o fidarsi di un sito dall’aspetto corretto sono comportamenti che aprono la porta a questo tipo di truffe.
Gli aggiornamenti di Windows 11 vanno gestiti solo attraverso Windows Update, accessibile dalle impostazioni del sistema. Qualsiasi richiesta di scaricare un file da un sito esterno dovrebbe essere trattata con prudenza, anche se la pagina sembra ufficiale.
Questa campagna mostra un’evoluzione importante delle minacce informatiche: oggi i criminali non puntano più soltanto su errori evidenti, ma su copie quasi perfette dei servizi legittimi. Per questo riconoscere un falso aggiornamento Windows 11 richiede attenzione costante e una verifica accurata della fonte.
