Usualmente, gli attacchi hacker tendono a riguardare i sistemi operativi più diffusi e tra questi vi è sicuramente Windows. A tal proposito, nelle scorse ore, diverse fonti hanno allertato sull’emergere di ben tre differenti minacce volta a colpire gli utenti del noto sistema operativo di Redmond.
La prima minaccia è stata segnalata dalla security house asiatica CloudSEK, secondo cui, sfruttando la popolarità di Windows 11, alcuni hacker avrebbero creato un sito del tutto simile a quello originale di Microsoft che permetterebbe di scaricare una versione del nuovo sistema operativo, nel classico formato d’immagine ISO che, contrariamente ai requisiti piuttosto recenti chiesti dalla versione originale, potrebbe essere installata su tutti i PC.
In realtà, premendo su “Download Now“, l’ISO che si scaricherebbe sarebbe addizionata con il malware Inno Stealer: quest’ultimo si esplicherebbe nella copia in locale di 4 file metà dei quali, in forma di script, cancellerebbe gli antivirus installati, creerebbero eccezioni in Windows Defender e disattiverebbero la sicurezza del Registro. In seguito, il virus depositerebbe un’istanza di se stesso, come file .ink, nella directory dell’esecuzione automatica, per assicurarsi la persistenza.
Tra i danni che Inno Stealer potrebbe eseguire, in qualità di virus info-stealer, vi sarebbe il carpire i login dai browser e i cookie, depositando le info, criptate, in una cartella temporanea per poi spedire il tutto, assieme al contenuto della clipboard, a server di comando e controllo remoti. In questo caso, gli esperti consigliano di scaricare la ISO di Windoes 11 dal sito ufficiale (microsoft.com/software-download/windows11), o tramite il meccanismo del Windows Update.
La seconda minaccia contro Windows 11 è stata portata all’attenzione da Bleeping Computer e riguarda la possibilità di eseguire sul nuovo sistema operativo le app Android. Nell’attesa che tale opportunità diventi effettiva, su internet sono circolati molti tool che promettono di abilitare la nuova funzione e, tra questi, figura “Windows Toolbox“. A quanto pare, però, installandolo vengono eseguiti in background degli script PowerShell che bloccano alcuni processi e avviano alcune attività, come ad esempio il creare la cartella occulta c:systemfile nella quale depositare una copia dei profili predefiniti di alcuni celebri browser, come Brave, Chrome ed Edge (Chromium), che poi verrebbero inviati a un server remoto assieme alle info geografiche del malcapitato, ricevendo poi i link di affiliazione e delle notifiche da palesare o su cui reindirizzare la vittima. In questo caso, gli esperti consigliano, nell’eventualità che si sia scaricato il tool di cui sopra, di verificare le presenza di attività pianificate ad hoc, della cartella nascosta menzionata, e dei file Python associati all’infezione.
La terza minaccia ai danni di Windows è stata segnalata direttamente dal Microsoft Detection and Response Team e riguarda un attacco condotto dal gruppo, forse cinese, Hafnium che, sfruttando una vulnerabilità zero-day, avrebbe colpito Windows infettandolo col virus Tarrask, in grado di nascondersi dal Task Manager e di eliminare le sue tracce dal registro di sistema, non risparmiando neanche i computer, come il controller di dominio o i server, che si riavviano di rado.
In questo caso, per individuare il virus, si può cercare, nella chiave di registro HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionScheduleTaskCacheTree, quei task che siano privi del valore Security Description, SD, ma anche setacciare, via log Operational.evtx e Security.evtx, quegli eventi che siano connessi alle recondite attività del malware Tarrask, facendo anche attenzione alle comunicazioni in uscita che sembrino sospette. Redmond, comunque, evidenzia come avvalendosi delle soluzioni di sicurezza Microsoft Sentinel e Windows Defender for Endpoint sia possibile rilevare e bloccare la minaccia in questione.