Annunci Facebook ingannevoli diffondono falsi download di Windows 11 che rubano password e wallet crypto

Annunci Facebook ingannevoli diffondono falsi download di Windows 11 che rubano password e wallet crypto

Annunci Facebook ingannevoli diffondono falsi download di Windows 11 che rubano password e wallet crypto

Attenzione: se hai visto annunci su Facebook che promettono aggiornamenti gratuiti di Windows 11, non cliccarci sopra! Questi spot ingannevoli portano a siti falsi che installano malware pericoloso, rubando password salvate, dati di browser e portafogli cryptocurrency. La soluzione rapida è semplice: aggiorna Windows solo tramite Impostazioni di sistema, mai da link esterni o social. Usa un antivirus affidabile come Malwarebytes per scansionare il PC e cambia tutte le password da un dispositivo pulito.

Questa truffa sfrutta la fiducia negli annunci Facebook, mimando perfettamente le pagine Microsoft. Migliaia di utenti rischiando di perdere dati sensibili. Continua a leggere per dettagli e protezione.

Come funziona la truffa

Tutto inizia con un annuncio Facebook che sembra ufficiale. Usa loghi Microsoft, colori blu e promesse di aggiornamenti Windows 11 gratuiti. Sembra un’opportunità comoda per chi vuole aggiornare il PC senza effort.

Cliccando, arrivi su un sito clone della pagina download Microsoft. Layout, font e testi legali sono copiati alla perfezione. L’unica differenza? L’URL: domini falsi come ms-25h2-download.pro o simili, che imitano la nomenclatura Microsoft (come 24H2).

Non tutti i visitatori ricevono il malware. Il sito usa geofencing e rilevamento sandbox: se sei un ricercatore o usi un IP di data center, verrai reindirizzato su Google. Solo utenti domestici o ufficio ricevono il file infetto.

Al click su Scarica ora, parte un pixel Facebook per tracciare le conversioni, proprio come fanno gli advertiser legittimi. Gli attaccanti ottimizzano le campagne in tempo reale.

Il file malevolo: un installer da 75 MB

Il download è ms-update32.exe, 75 MB, ospitato su GitHub con HTTPS valido. Sembra innocuo grazie alla piattaforma fidata e a Inno Setup, tool legittimo per installer professionali.

L’eseguibile prima verifica l’ambiente: cerca macchine virtuali, debugger o tool di analisi. Se li trova, si ferma. Su un PC reale, estrae componenti, inclusa un’app Electron (framework di app come Slack) in *C:\Users<UTENTE>\AppData\Roaming\LunarApplication*.

‘Lunar’ richiama tool crypto, e include librerie per creare archivi ZIP: raccoglie wallet crypto, seed phrase, credenziali browser e cookie, poi li invia ai server.

Vengono creati script PowerShell offuscati in %TEMP%, eseguiti disabilitando protezioni: powershell.exe -ExecutionPolicy Unrestricted.

Persistenza e offuscamento

Per sopravvivere ai riavvii, il malware scrive dati binari nel registro Windows: HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\TIP\AggregateResults. TIP è un componente legittimo, quindi passa inosservato.

Usa process injection: crea processi sospesi, inietta codice e li riprende, mimando processi legittimi. Pulisce tracce, cancella file temp e può forzare shutdown.

Tecniche di offuscamento: RC4, HC-128, XOR e hashing FNV per API, complicando l’analisi statica.

Le campagne Facebook

Due campagne parallele con domini e Pixel ID separati garantiscono ridondanza. Se un account viene bannato, l’altra continua. È malvertising sofisticato, non email spam.

Microsoft non promuove aggiornamenti via Facebook o siti esterni. Usa sempre Windows Update!

Cosa fare se sei stato colpito

  • Non accedere a conti dal PC sospetto.
  • Esegui scansione completa con Malwarebytes o antivirus simile.
  • Cambia password (email, banca, social) da un altro dispositivo pulito.
  • Per crypto: trasferisci fondi in un nuovo wallet con seed fresco.
  • Avvisa banca e attiva monitoraggio frodi.

Per team IT e sicurezza

  • Blocca domini a DNS e proxy.
  • Monitora PowerShell con -ExecutionPolicy Unrestricted.
  • Cerca cartella LunarApplication e script .yiz.ps1 / .unx.ps1 in %TEMP%.

Approfondimento tecnico

Indicatori di compromissione (IoC)

Hash SHA-256: c634838f255e0a691f8be3eab45f2015f7f3572fba2124142cf9fe1d227416aa (ms-update32.exe)

Domini:

  • ms-25h2-download.pro
  • ms-25h2-update.pro
  • ms25h2-download.pro
  • ms25h2-update.pro
  • raw.githubusercontent.com/preconfigured/dl/refs/heads/main/ms-update32.exe

Artefatti file:

  • C:\Users<UTENTE>\AppData\Roaming\LunarApplication\
  • C:\Users<UTENTE>\AppData\Local\Temp[random].yiz.ps1
  • C:\Users<UTENTE>\AppData\Local\Temp[random].unx.ps1

Registro:

  • HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\TIP\AggregateResults

Facebook:

  • Pixel ID: 1483936789828513
  • Pixel ID: 955896793066177
  • Campaign ID: 52530946232510
  • Campaign ID: 6984509026382

Analisi avanzata

Il malware evade sandbox rilevando VM e tool. L’app Electron con Node.js zippa dati sensibili. PowerShell offuscati usano parametri per bypass firming. Injection via processi sospesi è classico per stealth.

Campagne usano tracking pixel per ROI, simile a malvertising crypto (es. falsi Binance). Protezioni: Sicurezza Windows con accesso controllato cartelle, o tool terze parti.

Questa minaccia evidenzia rischi social ads: targeting preciso, evasione auto-analisi. Mantieni Windows Update attivo, evita download sospetti e usa 2FA ovunque.

(Parole: 1024)

Fonte: https://securityboulevard.com/2026/02/facebook-ads-spread-fake-windows-11-downloads-that-steal-passwords-and-crypto-wallets/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto