FakeUpdates: il malware dei falsi aggiornamenti del browser

Un malware distribuito tramite falsi aggiornamenti del browser. Scopri come funziona FakeUpdates e come difenderti da questo attacco.

La rete è uno dei canali principali per la diffusione di malware. Siti legittimi compromessi, reindirizzamenti e finte pagine di aggiornamento spingono gli utenti a eseguire codice malevolo. Le campagne fanno leva su avvisi di fiducia e urgenza, con i classici messaggi “aggiorna subito per continuare”, tipici dell’ingegneria sociale.

Tra gli schemi più diffusi spicca FakeUpdates. Noto anche come SocGholish, si tratta di un loader distribuito tramite falsi aggiornamenti del browser, erogati da siti compromessi e gestiti tramite sistemi di distribuzione del traffico (TDS). Una volta eseguito, il malware raccoglie informazioni sull’endpoint, contatta il server C2 e scarica payload secondari.

Cos’è FakeUpdates
Impatto di FakeUpdates
Prevenzione e difesa

fakeupdates malware finti aggiornamenti image

FakeUpdates è stato impiegato in campagne su larga scala, spesso condotte su siti WordPress compromessi. I settori colpiti includono pubblica amministrazione, finanza e servizi professionali. Il valore dell’operazione sta nella catena: convincere l’utente a cliccare, ottenere l’accesso iniziale e distribuire il payload più adatto agli obiettivi.

In questo articolo analizziamo il funzionamento di FakeUpdates, le sue modalità di diffusione, l’impatto registrato e le principali strategie di difesa.

Cos’è FakeUpdates

Il primo rilevamento di FakeUpdates risale al 10 aprile 2018. Scritto interamente in JavaScript, il loader è legato alla cybergang russa Evil Corp e integra tecniche di evasione avanzate. Infatti, è progettato per bypassare i sistemi di sicurezza basati su firme, scrivere file su disco prima dell’esecuzione ed eludere il rilevamento grazie a tecniche di offuscamento. Il suo scopo principale è rilasciare payload secondari, spesso sotto forma di backdoor, che garantiscono accesso persistente agli attaccanti e facilitano l’installazione di ulteriori malware. Tra i payload osservati figurano:

GootLoader;
Dridex;
NetSupport;
DoppelPaymer;
AZORult;

Oltre alle funzioni di vettore iniziale, FakeUpdates può anche raccogliere dati sensibili dal sistema ed eseguire comandi arbitrari, consentendo agli aggressori di svolgere diverse attività malevole sui sistemi compromessi.

Dinamiche d’infezione

Per diffondersi, FakeUpdates sfrutta delle finte pagine di aggiornamento del browser, servite da siti legittimi compromessi. Gli attaccanti iniettano script malevoli che reindirizzano l’utente verso una pagina falsificata, ricorrendo a istanze rogue di Keitaro TDS. Quest’ultimo è un sistema commerciale di distribuzione del traffico spesso abusato in ambito cybercriminale. La vittima viene indotta a scaricare un archivio ZIP contenente il loader JavaScript di FakeUpdates. In molte campagne il download avviene automaticamente anche se se l’utente prova a chiudere la finestra, o rifiutare l’aggiornamento.

Dopo l’installazione, il loader avvia un processo di fingerprinting dell’endpoint, raccogliendo informazioni come:

Nome del computer e dell’utente;
Modello e produttore della macchina;
Versione del BIOS;
Software antivirus installati;
Indirizzo MAC;
Processi attivi e build del sistema operativo;

Questi dati vengono inviati al server C2 (Command & Control) per per valutare l’ambiente e decidere se procedere con il rilascio di payload aggiuntivi. L’intera comunicazione con il server è offuscata per eludere i sistemi di monitoraggio.

Water Scylla e la diffusione di FakeUpdates

Secondo le indagini di Trend Micro, alcune campagne condotte a partire da gennaio 2025 fanno capo a un’infrastruttura denominata Water Scylla. Si tratta di un intrusion set che collabora con affiliati criminali specializzati nella gestione di Keitaro TDS. Questa rete reindirizza le vittime verso pagine di finti aggiornamenti da cui viene distribuito il loader SocGholish. Water Scylla è collegato a catene d’attacco che culminano con la distribuzione del ransomware RansomHub. Tale evidenza conferma il ruolo centrale di FakeUpdates come vettore di accesso iniziale.

Trend Micro ha inoltre rilevato migliaia di siti web legittimi compromessi, contenenti script iniettati che puntavano a domini malevoli. Questi ultimi erogavano contenuti diversi in base alla geolocalizzazione della vittima, reindirizzandola verso FakeUpdates o altre minacce.

Nelle campagne attribuite a RansomHub, è stato osservato che il loader installa una backdoor basata su Python. Prima runtime, PIP e dipendenze necessarie, quindi configura un task pianificato per la persistenza. Essendo un loader riutilizzabile, il tipo di payload distribuito può variare in base alla singola operazione o al gruppo affiliato.

Impatto di FakeUpdates

Nel corso del 2024, FakeUpdates si è affermato come una delle minacce più diffuse a livello globale. Secondo le indagini condotte da Rapid7, il loader è stato rilevato in circa un incidente su sette, posizionandosi accanto a malware noti come GootLoader e AsyncRAT. Anche Red Canary lo ha inserito tra le minacce più ricorrenti dell’anno, mentre ricerche condotte da Check Point hanno documentato un numero crescente di plugin WordPress compromessi, utilizzati per reindirizzare gli utenti verso pagine di finti aggiornamenti: una conferma diretta del legame tra siti legittimi compromessi e diffusione del loader.

Nel primo trimestre del 2025, i rilevamenti di FakeUpdates hanno raggiunto un picco negli Stati Uniti, con gli impatti maggiori riscontrati su enti governativi, istituti finanziari e società di consulenza. Secondo Stephen Hilt di Trend Micro, l’efficacia del malware risiede soprattutto nella fiducia implicita che gli utenti attribuiscono ai siti web compromessi, rendendo più credibili gli aggiornamenti falsificati.

Anche in Italia sono state rilevate attività di FakeUpdates, con campagne attive sin dal 2020 e rivolte a siti e organizzazioni locali. Pur in assenza di casi pubblicamente noti, le analisi mostrano una presenza stabile del loader sul territorio, favorita dalla diffusione di WordPress non aggiornati e da infrastrutture con domini .it vulnerabili o poco monitorati.

Il vero impatto di FakeUpdates risiede nella sua funzione di piattaforma di accesso iniziale, poiché concepito come infrastruttura modulare e riutilizzabile. Ciò permette ai gruppi affiliati a Evil Corp di distribuire trojan bancari, stealer o ransomware a seconda degli obiettivi della singola operazione.

Prevenzione e difesa

Per ridurre il rischio di compromissione da parte di FakeUpdates o minacce simili, è fondamentale adottare buone pratiche di sicurezza che includano misure preventive, capacità di rilevamento e strategie di risposta. In particolare, si consiglia di:

Adottare soluzioni di Extended Detection and Response (XDR).
Questi strumenti aiutano a individuare e mitigare le attività legate a FakeUpdates, oltre a limitare l’esecuzione di strumenti legittimi come PowerShell, spesso sfruttati dagli attaccanti per eseguire attività malevole.
Prestare attenzione quando si naviga in rete.
In particolare, bisogna diffidare dei messaggi che invitano ad aggiornare il browser o altri programmi tramite finestre pop-up.
Verificare sempre che gli aggiornamenti provengano da fonti ufficiali.
Gli aggiornamenti software devono essere esclusivamente installati tramite il sito del produttore o il programma di aggiornamento integrato nel sistema operativo.
Mantenere sistemi, browser e plugin regolarmente aggiornati.
Gli aggiornamenti applicano patch di sicurezza che correggono vulnerabilità note che possono essere sfruttate per condurre attacchi informatici.
Mantenere i propri siti web protetti.
Si consiglia di proteggere i siti web, in particolare quelli basati su WordPress, mediante l’uso di credenziali robuste, autenticazione a più fattori e aggiornamenti costanti di temi e plugin.
Limitare i privilegi amministrativi e segmentare la rete.
Questo aiuta a ridurre l’impatto a seguito di eventuali compromissioni da parte di attacchi informatici.

In conclusione

La vicenda di FakeUpdates dimostra come anche un semplice aggiornamento del browser possa trasformarsi in un veicolo d’infezione malware e compromettere un’intera rete. L’efficacia della minaccia non risiede nella complessità tecnica, ma nella sua capacità di sfruttare elementi di fiducia già esistenti. È proprio la combinazione di contesto autentico e pressione psicologica a rendere l’utente vulnerabile. Per questo, la prima linea di difesa resta un comportamento quanto più attento e informato possibile.

Ecco perché si sottolinea la necessità di non cliccare in automatico, non fidarsi dei messaggi a schermo e aggiornare sempre software e browser solo da fonti ufficiali. Prevenire l’attacco di vettori come FakeUpdates non è solo questione di strumenti, ma soprattutto di postura mentale. Saper riconoscere quando qualcosa non torna è il passo decisivo per evitare la compromissione.

Autore articolo
Gli ultimi articoli

Roberto Caprara

Classe 1998, laureato in Informatica e Comunicazione Digitale, appassionato di informatica e scrittura. Scrivere per questo blog rappresenta per me un’occasione per divulgare la cultura della cybersecurity, oggi più che mai indispensabile. Scrivo di minacce informatiche, social engineering e digital awareness, impegnandomi attivamente a trasformare scenari complessi in contenuti accessibili per i nostri utenti.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.