I ricercatori mettono in guardia gli utenti, sono in circolo falsi pacchetti di aggiornamento di Windows infetti.

25 NOVEMBRE 2025 | Torna lo spauracchio dei falsi aggiornamenti di Windows che infettano il PC. Secondo un nuovo report dei ricercatori di sicurezza è stata scoperta una nuova tecnica denominata ClickFix che simula la schermata di Windows Update tramite una pagina web a tutto schermo. La finta schermata di aggiornamento (immagine in alto) invita gli utenti a digitare dei comandi per installare l’update che in realtà servono ad eseguire un malware. Per evitare il rilevamento dai sistemi di sicurezza di Windows il malware viene nascosto all’interno di un’immagine.

Anziché limitarsi ad aggiungere dati dannosi a un file, il codice dannoso viene codificato direttamente all’interno dei dati pixel delle immagini PNG, basandosi su specifici canali di colore per ricostruire e decifrare il payload in memoria.

Mentre l’uso della steganografia aiuta questi payload a eludere il rilevamento basato sulle firme e complica l’analisi, gli attacchi si basano su un meccanismo di distribuzione semplice: la vittima apre manualmente la casella Esegui di Windows per incollare un comando dannoso. 

ClickFix è una tecnica di ingegneria sociale che induce gli utenti finali a incollare ed eseguire un comando dannoso. 

Questa variante più recente imita la pagina iniziale blu di Windows Update a schermo intero, mostrando animazioni realistiche “Aggiornamenti in corso” che si concludono chiedendo all’utente di seguire il modello standard di ClickFix: aprire il prompt Esegui (Win+R), quindi incollare ed eseguire il comando dannoso.

10 LUGLIO 2023 | A distanza di un anno dal precedente caso, i ricercatori di sicurezza hanno scoperto un nuovo ransomware denominato Big Head che utilizza ancora una volta dei falsi aggiornamenti di Windows come vettore per infettare i PC dei malcapitati. Una volta lanciato l’aggiornamento con le sembianze di Windows Update, il ransomware inizia a crittografare i dati per poi richiedere un riscatto.

FortiGuard Labs si è recentemente imbattuto in una nuova variante di ransomware chiamata Big Head, uscita nel maggio 2023. Sebbene esistano almeno tre varianti di Big Head ransomware, tutte sono progettate per crittografare i file sui computer delle vittime per estorcere denaro, come altre varianti di ransomware. Una variante del ransomware Big Head mostra un falso Windows Update, indicando potenzialmente che il ransomware è stato distribuito anche come un falso Windows Update. 

Attenzione ai falsi aggiornamenti di Windows

Alcuni malintenzionati stanno sfruttando gli aggiornamenti di Windows per colpire gli utenti consumer più sprovveduti. Nello specifico sul web si trovano siti che permettono di scaricare pacchetti per l’installazione manuale di aggiornamenti cumulativi o di sicurezza di Windows. Una volta lanciata l’installazione si diffonde il ransomware conosciuto con il nome Magniber che chiede agli utenti un riscatto di un valore di circa 2500 $ per decriptare alcuni file presenti sul PC (immagine in basso).

Ecco alcuni dei nomi dei file dei pacchetti incriminati:

  • Win10.0_System_Upgrade_Software.msi
  • Security_Upgrade_Software_Win10.0.msi
  • System.Upgrade.Win10.0-KB47287134.msi
  • System.Upgrade.Win10.0-KB82260712.msiù
  • System.Upgrade.Win10.0-KB18062410.msi
  • System.Upgrade.Win10.0-KB66846525.msi

A scanso di equivoci, evitate di cercare sul web questo tipo di file, l’unico modo lecito di scaricare pacchetti di aggiornamento di Windows è tramite il Microsoft Update Catalog.

Vi siete mai imbattuti in siti che distribuiscono sedicenti aggiornamenti di Windows? Diteci la vostra nei commenti.

Articolo di Windows Blog Italia
Fonte | BleepingComputer