L’astuta variante del malware Winos 4.0 sfrutta gli ingannevoli programmi di installazione NSIS per sferrare attacchi in più fasi. Questo malware manipola persino le impostazioni di sicurezza di Windows Defender, creando eccezioni che gli consentono di operare. Le terribili conseguenze di queste azioni includono il furto di dati, la manomissione del registro e il monitoraggio non autorizzato delle attività del PC.
Comprendere i pericoli del malware Winos 4.0
Il malware Winos 4.0 rappresenta una famiglia avanzata di software dannoso, le cui origini risalgono a Gh0st RAT. La designazione “4.0” non indica una versione specifica, ma riflette la sua classificazione all’interno di una categoria più ampia, esistente da oltre un anno. In particolare, il 22 maggio 2025, Rapid7 ha evidenziato una variante di Winos 4.0 che utilizza VPN e programmi di installazione per browser per distribuire il suo payload.
Il malware innesca una reazione a catena distribuendo un’applicazione NSIS fasulla, che si comporta come un file eseguibile corrotto. I nomi dei programmi di installazione sono spesso innocui, come QQBrowser_Setup_x64.exe o Lets.15.0.exe, e sfruttano la fiducia degli utenti. Queste astute tattiche di inganno rendono Winos 4.0 particolarmente pericoloso. Durante l’installazione, rilascia furtivamente componenti aggiuntivi, tra cui un launcher VBScript, un loader PowerShell, una DLL dannosa e file di configurazione. Rapid7 si riferisce appropriatamente a questo payload multifase come loader Catena.
Una caratteristica significativa di Winos 4.0 è la sua capacità di mantenere la persistenza attraverso comandi silenziosi di PowerShell che introducono esclusioni per proteggere il suo payload. Sorprendentemente, questo malware può rimanere dormiente per settimane prima di attivarsi, acquisire password, informazioni sulle criptovalute e manipolare il registro, monitorando screenshot, feed webcam e audio del microfono. Operando interamente in memoria, in modo simile a Remcos RAT, questo malware evita il rilevamento non lasciando tracce sul disco.
Come verificare le firme digitali degli installatori
Per proteggere il tuo PC, è fondamentale controllare attentamente le firme digitali delle applicazioni prima dell’installazione. Fai clic con il pulsante destro del mouse sull’applicazione, vai a Proprietà -> Firme digitali, quindi fai clic su Dettagli -> Visualizza certificato per verificare l’autenticità del programma di installazione.
L’immagine sopra illustra il controllo della firma digitale di QQBrowser che, nonostante la disponibilità di varianti dannose con falsi programmi di installazione NSIS, reca una firma valida di Tencent Technology, lo sviluppatore legittimo dell’applicazione.
Misure di sicurezza essenziali di Windows
Nonostante l’astuta capacità di Winos 4.0 di ingannare Windows Defender, ci sono numerosi accorgimenti che puoi adottare all’interno dell’app Sicurezza di Windows per rafforzare le tue difese.
Per impedire l’esecuzione dei programmi di installazione NSIS, avviare PowerShell in modalità amministratore ed eseguire il comando seguente, che riduce efficacemente l’ Attack Surface Area (ASR) senza implementare un divieto assoluto.
Set-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
Successivamente, accedi all’applicazione Sicurezza di Windows. Vai a Protezione da virus e minacce -> Impostazioni di protezione da virus e minacce -> Gestisci impostazioni, assicurandoti che la protezione in tempo reale sia attivata.
Inoltre, in Protezione da virus e minacce, scorri fino a Gestisci protezione ransomware. Se l’accesso controllato alle cartelle risulta disattivato, riattivalo. Puoi anche aggiungere le applicazioni attendibili alla whitelist tramite l’opzione Consenti un’app tramite accesso controllato alle cartelle.
L’implementazione di queste fondamentali misure di sicurezza di Windows rappresenta una prima linea di difesa efficace. Gli utenti più esperti potrebbero anche valutare di rafforzare le impostazioni del firewall per bloccare specificamente il malware Windows 4.0.
Impedire a Winos 4.0 di effettuare esclusioni in Windows Defender
Una delle tattiche insidiose impiegate da Windows 4.0 è la creazione di esclusioni all’interno dei protocolli di scansione di Windows Defender.È possibile adottare misure proattive per contrastare questa minaccia.
Apri PowerShell in modalità amministratore e usa il comando seguente per aggiungere criteri di esecuzione che limitino gli script dannosi. Flash A per confermare.
Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy Restricted
Per limitare le esclusioni non autorizzate su tutte le unità, eseguire il seguente comando in PowerShell:
Remove-MpPreference -ExclusionPath C:\, D:\, E:\, F:\, G:\, H:\, I:\, J:\, K:\, L:\, M:\, N:\, O:\, P:\, Q:\, R:\, S:\, T:\, U:\, V:\, W:\, X:\, Y:\, Z:
Rilevamento di voci NSIS false con Autoruns
L’utilizzo di uno strumento Microsoft chiamato Autoruns può aiutare a tracciare i programmi di avvio indesiderati, comprese le voci NSIS sospette. Questo metodo è tra i più efficaci per identificare Winos 4.0 e impedirne l’esecuzione.
Inizia scaricando il file ZIP di Autoruns dalla pagina web di Sysinternals. Non è necessaria l’installazione; è sufficiente decomprimere il file e fare doppio clic su Autoruns64 (per sistemi Windows 64).Questo fornirà una panoramica degli accessi attivi, delle attività pianificate e dei processi. Cerca le voci contrassegnate in rosso e monitora attentamente tutte le voci relative a NSIS che verranno evidenziate.
Gli installer di app Windows legittimi spesso sfuggono ai sospetti. Una volta che utilizzano SmartScreen (che dovrebbe rimanere abilitato) e superano i controlli di sicurezza di Windows, gli utenti spesso presumono che queste applicazioni siano sicure: questa supposizione fornisce una via d’accesso al malware di Windows 4.0. Garantire una protezione robusta per la finestra di PowerShell limitando l’esecuzione degli script può migliorare notevolmente la difesa. Sfruttate servizi come VirusTotal per analizzare i pacchetti di installazione alla ricerca di potenziali minacce malware.
Domande frequenti
1. Che cos’è il malware Winos 4.0 e come infetta il mio sistema?
Winos 4.0 è una forma avanzata di malware derivata da Gh0st RAT, che in genere infetta i sistemi tramite programmi di installazione NSIS ingannevoli camuffati da applicazioni legittime. Una volta installato, può eseguire un attacco in più fasi che porta al furto e alla sorveglianza di dati.
2. Come posso proteggere il mio computer dal malware Winos 4.0?
Proteggi il tuo computer verificando le firme digitali di tutti i programmi di installazione, abilitando le protezioni di Sicurezza di Windows, impedendo esclusioni non autorizzate in Windows Defender e utilizzando strumenti come Autoruns per rilevare voci sospette.
3. Quali sono i segnali che indicano che il mio computer potrebbe essere infettato da malware?
I segnali di infezione possono includere rallentamenti insoliti del sistema, programmi non riconosciuti all’avvio, comportamenti imprevisti delle applicazioni installate o frequenti crash di sistema. Se si sospetta un’infezione, è fondamentale eseguire immediatamente una scansione del sistema con un software antivirus affidabile.
Articoli correlati:
6 app per PC a pagamento che valgono sempre l’investimento
21:04
La mia esperienza di una settimana con il software open source: scoperte sorprendenti
20:14
Trasforma la tua esperienza con Windows 11 con questi trucchi Winget
20:09
Lascia un commento