SOC Prime Bias: Medio

10 Apr 2026 16:43
newspaper icon Malwarebytes

Sito di Supporto Windows Falso Distribuisce Malware Ruba Password

Author Photo
SOC Prime Team linkedin icon Segui
Sito di Supporto Windows Falso Distribuisce Malware Ruba Password
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Riepilogo

Un sito web typosquatted che impersona il supporto Microsoft sta distribuendo un falso MSI di aggiornamento di Windows. Una volta installato, l’MSI implementa un’app basata su Electron che attiva un avvio VBS, avvia un interprete Python rinominato e carica moduli di furto di credenziali. I dati rubati sono instradati attraverso Render, Cloudflare Workers e GoFile, mentre la persistenza è impostata tramite un valore del registro Run e un collegamento di avvio. L’attività è rivolta a utenti di lingua francese.

Indagine

I ricercatori hanno ottenuto WindowsUpdate 1.0.0.msi e hanno confermato che rilascia un wrapper Electron (WindowsUpdate.exe) più un avvio VBS (AppLauncher.vbs). Il processo Electron genera quindi un runtime Python nascosto (_winhost.exe), che importa librerie comuni per il furto di informazioni per raccogliere credenziali del browser, token Discord e dati di pagamento. La telemetria di rete mostra il profiling iniziale dell’host verso www.myexternalip.com e ip-api.com, seguita da traffico C2 verso datawebsync-lvmv.onrender.com e sync-service.system-telemetry.workers.dev, con esfiltrazione osservata verso store8.gofile.io. La persistenza è stabilita creando un valore SecurityHealth sotto HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun e posizionando Spotify.lnk nella cartella di avvio utente.

Mitigazione

Rimuovere il valore di esecuzione SecurityHealth e cancellare Spotify.lnk dalla cartella di avvio dell’utente. Eliminare la directory WindowsUpdate sotto AppDataLocalPrograms e rimuovere la cartella temporanea WinGettools. Reimpostare le password memorizzate, abilitare MFA/2FA e eseguire una scansione completa utilizzando protezioni anti-malware aggiornate.

Risposta

Se si attivano allarmi sull’MSI sospetto, sull’esecuzione del VBS o sulla creazione della chiave Run, isolare l’host, catturare dati volatili ed eseguire un triage forense dei percorsi AppData rilevanti. Bloccare i domini C2 identificati e tracciare il traffico verso i servizi di ricognizione elencati. Rimuovere gli artefatti di persistenza e rinforzare i flussi di lavoro di aggiornamento sicuri per prevenire l’esecuzione ripetuta.

graph TB classDef action fill:#99ccff classDef process fill:#ffcc99 classDef persistence fill:#c2f0c2 classDef collection fill:#ffd580 classDef credential fill:#ffb3ba classDef defense fill:#d9d9d9 classDef c2 fill:#ffeb99 classDef exfil fill:#c2c2f0 action_user_click[“Azione – phishing: clic su link malevolo”] class action_user_click action process_msiexec[“Processo – esecuzione MSI tramite msiexec”] class process_msiexec process process_vbs[“Processo – VBScript eseguito”] class process_vbs process process_electron[“Processo – app Electron mascherata”] class process_electron process process_python[“Processo – Python mascherato”] class process_python process persistence_registry[“Persistenza – Run keys registro”] class persistence_registry persistence persistence_shortcut[“Persistenza – shortcut autoavvio”] class persistence_shortcut persistence collection_ip[“Raccolta – indirizzi IP”] class collection_ip collection credential_browser[“Credenziali – password browser”] class credential_browser credential credential_discord[“Credenziali – token Discord”] class credential_discord credential defense_terminate[“Evasione difesa – terminazione processi sicurezza”] class defense_terminate defense defense_obfuscation[“Evasione difesa – JavaScript offuscato”] class defense_obfuscation defense c2_communicate[“C2 – comunicazione HTTP”] class c2_communicate c2 exfil_cloud[“Esfiltrazione – cloud upload”] class exfil_cloud exfil action_user_click –> process_msiexec process_msiexec –> process_vbs process_vbs –> process_electron process_electron –> process_python process_python –> persistence_registry process_python –> persistence_shortcut process_python –> collection_ip process_python –> credential_browser process_python –> credential_discord process_python –> defense_terminate process_python –> defense_obfuscation defense_obfuscation –> c2_communicate c2_communicate –> exfil_cloud

Flusso de Attacco

Esecuzione della Simulazione

Requisito: Il Controllo Pre-volo della Telemetria e Baseline deve essere stato superato.

Razionale: Questa sezione descrive l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento.

  • Narrativa e Comandi dell’Attacco:
    Un avversario ha ottenuto un punto d’appoggio sulla workstation dell’utente e desidera mantenere la persistenza attraverso i riavvii evitando l’ispezione casuale. Deposita un carico malevolo chiamato WindowsUpdate.exe nella cartella AppData dell’utente, quindi crea una chiave Run chiamata SecurityHealth che punta a questo carico, imitando deliberatamente il servizio legittimo “Windows Security Health”. Poiché la regola monitora esattamente questo percorso della chiave, l’attività dovrebbe essere segnalata.

    powershell
# 1. Deposita il carico malevolo (simulato con un file di testo innocuo per il test)
$payloadPath = "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe"
New-Item -ItemType Directory -Path (Split-Path $payloadPath) -Force | Out-Null
Set-Content -Path $payloadPath -Value "Questo è un eseguibile malevolo fittizio per il test." -Encoding ASCII

# 2. Crea la chiave Run malevola che si maschera come SecurityHealth
$runKey = 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun'
New-ItemProperty -Path $runKey -Name 'SecurityHealth' -Value $payloadPath -PropertyType String -Force

  • Script di Test di Regressione:

    powershell
# -------------------------------------------------
# Test di Regressione – Mascheramento Persistenza Registro
# -------------------------------------------------
# Scopo: Riprodurre esattamente la telemetria che la regola Sigma si aspetta.
# Funziona su Windows 10/11 con privilegi amministrativi.

# Definisci la posizione del carico
$payload = "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe"

# Assicurati che la directory esista
if (-not (Test-Path (Split-Path $payload))) {
    New-Item -ItemType Directory -Path (Split-Path $payload) -Force | Out-Null
}

# Crea un eseguibile fittizio (in un test reale questo sarebbe il binario malevolo)
Set-Content -Path $payload -Value "MALICIOUS_BINARY_PLACEHOLDER" -Encoding ASCII

# Registra la chiave Run con un nome mascherato
$runKeyPath = 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun'
New-ItemProperty -Path $runKeyPath -Name 'SecurityHealth' -Value $payload -PropertyType String -Force

Write-Host "Chiave Run malevola creata. Aspetta l'allerta di rilevamento a breve."
# -------------------------------------------------

  • Comandi di Pulizia:

    powershell
# Rimuovi la chiave Run malevola
Remove-ItemProperty -Path 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' -Name 'SecurityHealth' -ErrorAction SilentlyContinue

# Cancella il file di carico fittizio e la sua cartella
$payloadDir = Split-Path "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe"
Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue

Write-Host "Pulizia completata."

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis