Sito di Supporto Windows Falso Distribuisce Malware Ruba Password
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
Un sito web typosquatted che impersona il supporto Microsoft sta distribuendo un falso MSI di aggiornamento di Windows. Una volta installato, l’MSI implementa un’app basata su Electron che attiva un avvio VBS, avvia un interprete Python rinominato e carica moduli di furto di credenziali. I dati rubati sono instradati attraverso Render, Cloudflare Workers e GoFile, mentre la persistenza è impostata tramite un valore del registro Run e un collegamento di avvio. L’attività è rivolta a utenti di lingua francese.
Indagine
I ricercatori hanno ottenuto WindowsUpdate 1.0.0.msi e hanno confermato che rilascia un wrapper Electron (WindowsUpdate.exe) più un avvio VBS (AppLauncher.vbs). Il processo Electron genera quindi un runtime Python nascosto (_winhost.exe), che importa librerie comuni per il furto di informazioni per raccogliere credenziali del browser, token Discord e dati di pagamento. La telemetria di rete mostra il profiling iniziale dell’host verso www.myexternalip.com e ip-api.com, seguita da traffico C2 verso datawebsync-lvmv.onrender.com e sync-service.system-telemetry.workers.dev, con esfiltrazione osservata verso store8.gofile.io. La persistenza è stabilita creando un valore SecurityHealth sotto HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun e posizionando Spotify.lnk nella cartella di avvio utente.
Mitigazione
Rimuovere il valore di esecuzione SecurityHealth e cancellare Spotify.lnk dalla cartella di avvio dell’utente. Eliminare la directory WindowsUpdate sotto AppDataLocalPrograms e rimuovere la cartella temporanea WinGettools. Reimpostare le password memorizzate, abilitare MFA/2FA e eseguire una scansione completa utilizzando protezioni anti-malware aggiornate.
Risposta
Se si attivano allarmi sull’MSI sospetto, sull’esecuzione del VBS o sulla creazione della chiave Run, isolare l’host, catturare dati volatili ed eseguire un triage forense dei percorsi AppData rilevanti. Bloccare i domini C2 identificati e tracciare il traffico verso i servizi di ricognizione elencati. Rimuovere gli artefatti di persistenza e rinforzare i flussi di lavoro di aggiornamento sicuri per prevenire l’esecuzione ripetuta.
Flusso de Attacco
Rilevamenti
Possibile Infiltrazione / Esfiltrazione Dati / C2 tramite Servizi/Strumenti di Terze Parti (tramite proxy)
Visualizza
Possibile Tentativo di Comunicazione Dominio IP Lookup (tramite dns)
Visualizza
Possibile Infiltrazione / Esfiltrazione Dati / C2 tramite Servizi/Strumenti di Terze Parti (tramite dns)
Visualizza
Binari / Script Sospetti in Posizione di Avvio Automatico (tramite file_event)
Visualizza
LOLBAS WScript / CScript (tramite process_creation)
Visualizza
Possibili Punti di Persistenza [ASEPs – Software/NTUSER Hive] (tramite registry_event)
Visualizza
IOC (HashSha256) da rilevare: Questo sito di supporto Windows falso distribuisce malware di furto password
Visualizza
Connessioni di Rete Sospette Correlate a Malware Ruba-password [Connessione di Rete di Windows]
Visualizza
Sito di Supporto Windows Falso Distribuisce Malware di Furto Password [Creazione del Processo di Windows]
Visualizza
Persistenza del Registro tramite Voce di Sicurezza Windows Falsa [Evento del Registro di Windows]
Visualizza
Esecuzione della Simulazione
Requisito: Il Controllo Pre-volo della Telemetria e Baseline deve essere stato superato.
Razionale: Questa sezione descrive l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento.
-
Narrativa e Comandi dell’Attacco:
Un avversario ha ottenuto un punto d’appoggio sulla workstation dell’utente e desidera mantenere la persistenza attraverso i riavvii evitando l’ispezione casuale. Deposita un carico malevolo chiamato WindowsUpdate.exe nella cartella AppData dell’utente, quindi crea una chiave Run chiamata SecurityHealth che punta a questo carico, imitando deliberatamente il servizio legittimo “Windows Security Health”. Poiché la regola monitora esattamente questo percorso della chiave, l’attività dovrebbe essere segnalata.powershell # 1. Deposita il carico malevolo (simulato con un file di testo innocuo per il test) $payloadPath = "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe" New-Item -ItemType Directory -Path (Split-Path $payloadPath) -Force | Out-Null Set-Content -Path $payloadPath -Value "Questo è un eseguibile malevolo fittizio per il test." -Encoding ASCII # 2. Crea la chiave Run malevola che si maschera come SecurityHealth $runKey = 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' New-ItemProperty -Path $runKey -Name 'SecurityHealth' -Value $payloadPath -PropertyType String -Force -
Script di Test di Regressione:
powershell # ------------------------------------------------- # Test di Regressione – Mascheramento Persistenza Registro # ------------------------------------------------- # Scopo: Riprodurre esattamente la telemetria che la regola Sigma si aspetta. # Funziona su Windows 10/11 con privilegi amministrativi. # Definisci la posizione del carico $payload = "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe" # Assicurati che la directory esista if (-not (Test-Path (Split-Path $payload))) { New-Item -ItemType Directory -Path (Split-Path $payload) -Force | Out-Null } # Crea un eseguibile fittizio (in un test reale questo sarebbe il binario malevolo) Set-Content -Path $payload -Value "MALICIOUS_BINARY_PLACEHOLDER" -Encoding ASCII # Registra la chiave Run con un nome mascherato $runKeyPath = 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' New-ItemProperty -Path $runKeyPath -Name 'SecurityHealth' -Value $payload -PropertyType String -Force Write-Host "Chiave Run malevola creata. Aspetta l'allerta di rilevamento a breve." # ------------------------------------------------- -
Comandi di Pulizia:
powershell # Rimuovi la chiave Run malevola Remove-ItemProperty -Path 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' -Name 'SecurityHealth' -ErrorAction SilentlyContinue # Cancella il file di carico fittizio e la sua cartella $payloadDir = Split-Path "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe" Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue Write-Host "Pulizia completata."