Gli opposti si attraggono. Sempre. Il mondo fatato di internet è affollato di tante utilità, e parimenti virus che disturbano le operazioni svolte da un utente, distruggono i nostri computer, o peggio ancora ledono al portafoglio personale di ognuno di noi. La prudenza non è mai troppa. 
Le minacce dei cyber criminali sono sempre dietro l’angolo, si nascondono anche dietro siti fake di noti portali che in realtà non sono altro che un’esca dove fin troppo spesso finiscono intrappolati gli utenti più distratti.
Di recente, online, sta girando un falso programma di installazione di Windows 11. Il 27 gennaio 2022, guarda caso il giorno dopo l’annuncio, questo sì ufficiale, della fase finale dell’aggiornamento di Windows 11, un cyber criminale ha pensato bene di registrare il dominio windows-upgraded.com, utilizzandolo per diffondere malware.
Un installatore fake, e il classico ladro di informazioni
Molti utenti sono stati indotti a scaricare ed eseguire un installatore, che di vero non aveva nulla e di falso, tutto. Il dominio ha attirato l’attenzione in primis di threatresearch.ext.hp.com, che ha scoperto che il dominio era stato registrato con l’imitazione di un marchio legittimo.
L’attore delle minacce lo ha utilizzato per distribuire, un tipo di malware appartenente alla famiglia di quei trojan, che proprio come il cavallo di Troia che rievoca il suo nome, nasconde il suo funzionamento all’interno di un altro programma apparentemente utile e innocuo, in realtà scarica il codice trojan nascosto, per il furto di informazioni ampiamente pubblicizzata per la vendita all’interno di forum clandestini, nel dark web soprattutto.
Gli aggressori hanno copiato il design del portale (quello vero) di Windows 11, tranne che facendo clic sul pulsante “Scarica ora” viene scaricato un archivio zip sospetto chiamato Windows11InstallationAssistant.zip. Il file è stato ospitato sulla rete di distribuzione dei contenuti di Discord. Dopo aver decompresso l’archivio, threatresearch.ext.hp.com ha ottenuto una cartella con una dimensione totale di 753 MB. L’eseguibile Windows11InstallationAssistant.exe era il file più grande con 751 MB.
“Poiché la dimensione compressa del file zip era di soli 1,5 MB – si legge sul portale – ciò significa che ha un rapporto di compressione impressionante del 99,8%. Questo è molto più grande del rapporto di compressione zip medio per eseguibili del 47%. Per ottenere un rapporto di compressione così elevato, è probabile che l’eseguibile contenga un’imbottitura estremamente comprimibile. Visualizzato in un editor esadecimale, questo riempimento è facilmente individuabile”.
In sintesi, il malware avvia un processo di PowerShell con un argomento codificato, che provoca l’avvio di un processo cmd.exe con un timeout di 21 secondi. Una volta scaduto questo timeout, il processo iniziale scarica un file denominato win11.jpg da un server Web remoto. L’esecuzione dell’utilità file su win11.jpg non riesce a identificare il tipo di file, suggerendo che è codificato o crittografato.
Tuttavia, l’apertura del file in un editor di testo e la sua analisi ha rivelato il classico ladro di informazioni: raccoglie varie informazioni sull’ambiente di esecuzione corrente, come il nome utente, il nome del computer, il software installato e le informazioni sull’hardware, rubando anche le password memorizzate dai browser Web, i dati di completamento automatico come le informazioni sulla carta di credito, nonché i file e i portafogli di criptovaluta.
Un occhio di riguardo in più ogni volta che scarichiamo qualsiasi cosa, è un punto di partenza per evitare malware, trojan e compagnia cantante.
