Una notifica. Un clic. Una pagina che sembra quella giusta. Nel 2026, aggiornare il proprio sistema operativo è diventato un gesto talmente automatico da non sollevare più alcun sospetto. Eppure, è proprio questa normalità digitale a trasformarsi nell’arma più efficace nelle mani dei cybercriminali. Negli ultimi giorni, una nuova e insidiosa campagna malware sta prendendo di mira gli utenti di Windows 11 in tutta Italia, sfruttando proprio la fiducia cieca che riponiamo negli aggiornamenti di sistema. L’allarme arriva direttamente dai laboratori di Malwarebytes, azienda specializzata in cybersicurezza che ha individuato un’infrastruttura progettata nei minimi dettagli per imitare il supporto ufficiale Microsoft. Non si tratta della solita email di phishing malamente tradotta o di un popup sospetto. Qui parliamo di siti web costruiti per replicare con precisione chirurgica grafica, linguaggio e struttura delle pagine autentiche di Microsoft, con un livello di fedeltà sufficiente a ingannare anche utenti esperti.
La tecnica utilizzata si chiama typosquatting: i malintenzionati registrano domini che sembrano ufficiali ma non lo sono. Può trattarsi di un errore di battitura volontariamente indotto, oppure di una combinazione di parole che un utente potrebbe digitare per sbaglio nella barra degli indirizzi. Una volta atterrati su queste pagine fasulle, agli utenti viene presentato quello che appare come un aggiornamento cumulativo per Windows 11 versione 24H2, completo di numero KB plausibile, layout coerente con quello Microsoft e un pulsante di download ben visibile. Il file che si scarica si chiama WindowsUpdate 1.0.0.msi, pesa circa 83 MB e si presenta come un installer legittimo. I metadati sono stati manipolati con cura maniacale: il campo autore riporta Microsoft e la descrizione indica un pacchetto standard di aggiornamento. In pratica, tutto è costruito per superare i controlli superficiali e convincere l’utente che sta facendo la cosa giusta.
Ma cosa succede realmente quando questo file viene eseguito? Dietro quella facciata impeccabile si nasconde un meccanismo sofisticato creato attraverso WiX Toolset, un framework open source normalmente utilizzato per creare installer Windows legittimi. Il codice malevolo è nascosto all’interno di una struttura basata su Electron, la stessa tecnologia che alimenta moltissime applicazioni legittime. Questa architettura a strati permette al malware di superare i controlli di parecchi antivirus, che si fermano allo strato esterno senza analizzare in profondità i componenti interni. Una volta avviato, il file non attiva alcun aggiornamento reale. Invece, esegue codice progettato per instaurare una connessione con server remoti e avviare una sequenza di operazioni in background. In questa fase possono essere raccolte informazioni dal sistema, intercettate credenziali salvate nei browser, sottratti dati di carte di debito e credito. Il punto più preoccupante è che questo tipo di minaccia può consentire accesso diretto ai conti bancari e causare perdite economiche concrete, il tutto mentre l’utente continua a utilizzare il computer senza notare nulla di anomalo.
Il malware è inoltre in grado di predisporre accessi persistenti che consentono agli attaccanti di mantenere il controllo anche dopo il primo avvio, trasformando il computer in una porta d’accesso permanente ai dati personali. Il punto critico evidenziato dai ricercatori riguarda proprio la capacità di questa minaccia di non mostrare comportamenti immediatamente sospetti: il file appare legittimo, non attiva alert evidenti e soprattutto sfrutta meccanismi che non richiedono vulnerabilità specifiche del sistema, basandosi piuttosto sull’esecuzione volontaria da parte dell’utente. Come difendersi da una minaccia così sofisticata? La prima regola è semplice ma fondamentale: gli aggiornamenti autentici di Windows 11 passano esclusivamente da Windows Update, accessibile all’interno delle impostazioni del sistema operativo, oppure da percorsi ufficiali e verificabili. La presenza di pagine web che invitano al download diretto di file eseguibili, anche quando la grafica richiama perfettamente quella Microsoft, rappresenta già un’anomalia significativa che dovrebbe far scattare un campanello d’allarme.
Un altro elemento distintivo riguarda il comportamento dell’aggiornamento stesso. Un update reale segue una procedura riconoscibile, con schermate standardizzate, tempi coerenti e riavvii gestiti direttamente dal sistema operativo. File che si avviano come semplici programmi, che non mostrano alcun processo di aggiornamento visibile o che richiedono azioni insolite indicano un flusso non conforme agli standard Microsoft. Vale la pena sottolineare che, in un’epoca in cui l’intelligenza artificiale rende relativamente facile per chiunque creare siti web fasulli credibili e convincenti, la vigilanza non è mai troppa. I tempi in cui bastava controllare l’URL o cercare errori grammaticali per individuare una truffa sono finiti. Oggi le campagne malware sono costruite con la stessa cura di un prodotto commerciale legittimo, e questo rende la distinzione tra vero e falso sempre più sottile.
