Una nuova e sofisticata campagna fraudolenta si sta diffondendo rapidamente su Facebook, sfruttando la popolarità di Windows 11 e la fiducia degli utenti nelle inserzioni pubblicitarie della piattaforma social. I cybercriminali hanno architettato un sistema di truffe che replica con precisione inquietante le comunicazioni ufficiali di Microsoft, trasformando quella che sembra un’occasione imperdibile in un vero e proprio incubo digitale. I ricercatori di Malwarebytes, società specializzata in sicurezza informatica, hanno documentato come gli hacker stiano pubblicando annunci a pagamento su Facebook spacciandoli per promozioni ufficiali di Microsoft. L’offerta è allettante: la possibilità di scaricare o aggiornare a Windows 11 gratuitamente, senza pagare la licenza che normalmente costa diverse decine di euro. Per molti utenti, trovare questo tipo di offerta su una piattaforma mainstream come Facebook contribuisce a renderla credibile, abbassando istintivamente le difese.
La qualità tecnica di questi annunci è sorprendentemente elevata. Non si tratta di banali tentativi artigianali facilmente riconoscibili: i malintenzionati hanno investito risorse per creare inserzioni dall’aspetto professionale, con grafica curata, loghi corretti e un linguaggio che replica fedelmente quello utilizzato da Microsoft nelle sue comunicazioni ufficiali. Questa attenzione ai dettagli rende la truffa particolarmente insidiosa anche per utenti mediamente esperti. Quando la vittima clicca sull’annuncio interessante, viene reindirizzata a un sito web costruito ad arte per imitare le pagine ufficiali di Microsoft. L’interfaccia replica fedelmente logo, caratteri tipografici e layout dell’azienda di Redmond. Gli esperti di Malwarebytes hanno notato come i cybercriminali abbiano prestato particolare attenzione a ogni dettaglio visivo, creando un’esperienza utente difficilmente distinguibile da quella legittima a prima vista.
L’unica differenza sostanziale, ma non sempre evidente per un occhio non allenato, si trova nell’URL della pagina. Invece del dominio ufficiale microsoft.com, gli utenti vengono indirizzati verso domini fraudolenti che includono termini come download.pro, ms-25h2-aggiornamento.pro o ms25h2-aggiornamento.pro. La scelta di includere 25H2 nei nomi di dominio non è casuale: si tratta di un riferimento alla convenzione di denominazione utilizzata da Microsoft per le versioni di Windows. L’attuale versione stabile è la 24H2, e quando questa campagna è stata lanciata era proprio sulla bocca di tutti, rendendo i domini falsi plausibili a prima vista per chi non verifica attentamente l’indirizzo completo. Il vero pericolo si materializza nel momento in cui l’utente clicca sul pulsante di download. Invece di ricevere il sistema operativo legittimo, viene scaricato un file eseguibile chiamato ms-update32.exe di circa 75 MB, dimensione che può sembrare coerente con un installer compresso. Il file viene ospitato su GitHub, piattaforma legittima utilizzata quotidianamente da milioni di sviluppatori in tutto il mondo. Questa scelta strategica dei criminali fa sì che il browser non mostri alcun avviso di pericolo, dato che GitHub è considerato un dominio affidabile dai sistemi di sicurezza.
Una volta eseguito, l’installer malevolo dimostra un livello di sofisticazione preoccupante. Prima di procedere con l’infezione vera e propria, il malware verifica l’ambiente in cui sta operando, cercando di rilevare la presenza di macchine virtuali, software di debugging o tool di analisi utilizzati dai ricercatori di sicurezza. Se rileva questi elementi, può modificare il proprio comportamento o interrompersi completamente, rendendo più difficile l’analisi da parte degli esperti. Superata questa fase di controllo, il virus si installa nel sistema e inizia la sua attività criminale. Si tratta di un infostealer, categoria di malware specializzata nel furto di informazioni sensibili. L’obiettivo primario sono le password salvate nei browser, i cookie di sessione che permettono l’accesso automatico ai siti web, e soprattutto i dettagli di pagamento memorizzati. Ma non finisce qui: il malware cerca attivamente i wallet di criptovalute installati sul computer, rubando le seed phrase (le frasi di recupero) e i file che contengono le chiavi private necessarie per accedere ai fondi.
Le conseguenze per le vittime possono essere devastanti. Perdere l’accesso ai propri account email, social e bancari rappresenta già un danno significativo, ma il furto di criptovalute può tradursi nella perdita irreversibile di risparmi sostanziosi, considerando che le transazioni in blockchain non possono essere annullate o recuperate come quelle bancarie tradizionali. Per garantire la propria persistenza nel sistema, il malware aggiunge una chiave nel registro di Windows, specificamente in HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\TIP\AggregateResults, che ne assicura l’esecuzione automatica a ogni avvio del computer. Dopo aver completato l’installazione e configurato i propri meccanismi di sopravvivenza, il virus cancella metodicamente i file temporanei utilizzati durante l’infezione, non lasciando tracce evidenti che potrebbero insospettire l’utente o facilitare l’analisi forense successiva.
I cybercriminali dietro questa operazione hanno dimostrato anche capacità di pianificazione strategica. Utilizzano infatti due domini differenti e gestiscono due account pubblicitari distinti su Facebook, creando una ridondanza che permette alla campagna di continuare anche se una delle componenti viene individuata e bloccata. Questo approccio rivela un’organizzazione strutturata, non l’opera di singoli dilettanti. Gli identificatori tecnici della campagna includono specifici ID pixel Facebook (1483936789828513 e 955896793066177) e ID campagna (52530946232510 e 6984509026382) che possono essere utilizzati dagli esperti di sicurezza per tracciare e potenzialmente bloccare queste inserzioni. Tuttavia, la natura dinamica delle piattaforme pubblicitarie e la possibilità di creare rapidamente nuovi account rendono questa una battaglia continua.
Come proteggersi da questa minaccia. Innanzitutto, è fondamentale ricordare che Microsoft non distribuisce Windows attraverso annunci pubblicitari su Facebook. Gli aggiornamenti del sistema operativo vengono sempre erogati tramite Windows Update, il sistema integrato nel sistema operativo stesso, oppure attraverso il sito ufficiale microsoft.com. Qualsiasi altra fonte dovrebbe essere considerata sospetta per principio. Prima di scaricare qualsiasi file, verificare sempre attentamente l’URL della pagina. I domini ufficiali Microsoft terminano sempre con microsoft.com, senza variazioni, abbreviazioni o aggiunte creative. Anche differenze apparentemente minime nell’indirizzo web dovrebbero far scattare un campanello d’allarme. Non fidarsi dell’aspetto professionale di un annuncio o di un sito web. Come dimostra questa campagna, i cybercriminali investono risorse significative per creare contenuti visivamente indistinguibili da quelli legittimi. L’estetica curata non è più, purtroppo, una garanzia di affidabilità.
Mantenere sempre aggiornato un software antivirus affidabile e utilizzare le funzionalità di protezione integrate in Windows, come Windows Defender, che viene costantemente aggiornato con le firme dei nuovi malware. Anche se questi strumenti non sono infallibili, rappresentano una prima linea di difesa essenziale. Per chi utilizza criptovalute, considerare l’impiego di hardware wallet, dispositivi fisici che mantengono le chiavi private offline e al sicuro da malware. Questa soluzione, pur avendo un costo iniziale, offre un livello di sicurezza significativamente superiore rispetto ai wallet software installati sul computer.
Questa vicenda mette in luce una problematica più ampia che riguarda Facebook e la sua gestione degli annunci pubblicitari. Non è la prima volta che la piattaforma approva inserzioni che si rivelano essere vere e proprie truffe, sollevando interrogativi sugli standard di verifica applicati prima della pubblicazione. Per gli utenti, questo significa che non si può più considerare la presenza di un annuncio su una piattaforma mainstream come Facebook una garanzia implicita di legittimità. La sofisticazione crescente degli attacchi informatici richiede un cambio di mentalità. Non basta più affidarsi all’istinto o all’aspetto professionale di un’offerta: serve un approccio sistematicamente scettico, soprattutto quando si tratta di software, dati personali o denaro. La comodità di un’offerta trovata casualmente durante lo scroll quotidiano raramente vale il rischio di compromettere la propria sicurezza digitale e finanziaria.
