I ricercatori mettono in guardia gli utenti, sono in circolo falsi pacchetti di aggiornamento di Windows infetti.

13 APRILE 2026 | A distanza di qualche mese, i ricercatori di sicurezza hanno scoperto un altro finto sito web di supporto con un URL apparentemente legittimo che propone il download di un pacchetto di un falso aggiornamento a Windows 11 24H2 (immagine in alto). Una volta lanciata l’installazione dell’eseguibile che non viene rilevata dai sistemi di sicurezza grazie ad una nuova tecnica e si diffonde un malware che ruba credenziali agli utenti.

Abbiamo individuato la campagna su microsoft-update[.]support, un dominio typosquatted camuffato per sembrare una pagina di supporto ufficiale di Microsoft. Il sito è interamente in francese (ma queste campagne tendono a diffondersi rapidamente) e presenta un falso aggiornamento cumulativo per la versione 24H2 di Windows, completo di un plausibile numero di articolo KB. Un grande pulsante blu di download invita gli utenti a installare l’aggiornamento.

25 NOVEMBRE 2025 | Torna lo spauracchio dei falsi aggiornamenti di Windows che infettano il PC. Secondo un nuovo report dei ricercatori di sicurezza è stata scoperta una nuova tecnica denominata ClickFix che simula la schermata di Windows Update tramite una pagina web a tutto schermo. La finta schermata di aggiornamento (immagine in basso) invita gli utenti a digitare dei comandi per installare l’update che in realtà servono ad eseguire un malware. Per evitare il rilevam

ento dai sistemi di sicurezza di Windows il malware viene nascosto all’interno di un’immagine.

Anziché limitarsi ad aggiungere dati dannosi a un file, il codice dannoso viene codificato direttamente all’interno dei dati pixel delle immagini PNG, basandosi su specifici canali di colore per ricostruire e decifrare il payload in memoria.

Mentre l’uso della steganografia aiuta questi payload a eludere il rilevamento basato sulle firme e complica l’analisi, gli attacchi si basano su un meccanismo di distribuzione semplice: la vittima apre manualmente la casella Esegui di Windows per incollare un comando dannoso. 

ClickFix è una tecnica di ingegneria sociale che induce gli utenti finali a incollare ed eseguire un comando dannoso. 

Questa variante più recente imita la pagina iniziale blu di Windows Update a schermo intero, mostrando animazioni realistiche “Aggiornamenti in corso” che si concludono chiedendo all’utente di seguire il modello standard di ClickFix: aprire il prompt Esegui (Win+R), quindi incollare ed eseguire il comando dannoso.

10 LUGLIO 2023 | A distanza di un anno dal precedente caso, i ricercatori di sicurezza hanno scoperto un nuovo ransomware denominato Big Head che utilizza ancora una volta dei falsi aggiornamenti di Windows come vettore per infettare i PC dei malcapitati. Una volta lanciato l’aggiornamento con le sembianze di Windows Update, il ransomware inizia a crittografare i dati per poi richiedere un riscatto.

FortiGuard Labs si è recentemente imbattuto in una nuova variante di ransomware chiamata Big Head, uscita nel maggio 2023. Sebbene esistano almeno tre varianti di Big Head ransomware, tutte sono progettate per crittografare i file sui computer delle vittime per estorcere denaro, come altre varianti di ransomware. Una variante del ransomware Big Head mostra un falso Windows Update, indicando potenzialmente che il ransomware è stato distribuito anche come un falso Windows Update. 

Attenzione ai falsi aggiornamenti di Windows

Alcuni malintenzionati stanno sfruttando gli aggiornamenti di Windows per colpire gli utenti consumer più sprovveduti. Nello specifico sul web si trovano siti che permettono di scaricare pacchetti per l’installazione manuale di aggiornamenti cumulativi o di sicurezza di Windows. Una volta lanciata l’installazione si diffonde il ransomware conosciuto con il nome Magniber che chiede agli utenti un riscatto di un valore di circa 2500 $ per decriptare alcuni file presenti sul PC (immagine in basso).

Ecco alcuni dei nomi dei file dei pacchetti incriminati:

  • Win10.0_System_Upgrade_Software.msi
  • Security_Upgrade_Software_Win10.0.msi
  • System.Upgrade.Win10.0-KB47287134.msi
  • System.Upgrade.Win10.0-KB82260712.msiù
  • System.Upgrade.Win10.0-KB18062410.msi
  • System.Upgrade.Win10.0-KB66846525.msi

A scanso di equivoci, evitate di cercare sul web questo tipo di file, l’unico modo lecito di scaricare pacchetti di aggiornamento di Windows è tramite il Microsoft Update Catalog.

Vi siete mai imbattuti in siti che distribuiscono sedicenti aggiornamenti di Windows? Diteci la vostra nei commenti.

Articolo di Windows Blog Italia
Fonte | BleepingComputer