ClickFix: un nuovo schema di distribuzione malware
Un ingegnoso schema di distribuzione di malware, inizialmente individuato in attacchi mirati lo scorso anno, è ora diventato mainstream. Questo inganno, soprannominato ClickFix, chiede ai visitatori di un sito web compromesso o malevolo di distinguersi dai bot premendo una combinazione di tasti che induce Microsoft Windows a scaricare malware per il furto di password.
Simulazione dei test “Verifica che sei umano”
Gli attacchi ClickFix imitano i test “Verifica che sei umano” che molti siti web utilizzano per separare i visitatori reali dai bot che raschiano contenuti. Questo particolare inganno inizia solitamente con un popup sul sito web che appare in questo modo: un attacco malware che finge di essere un CAPTCHA per separare gli umani dai bot.
Il processo in tre fasi
Cliccando sul pulsante “Non sono un robot” si genera un messaggio pop-up che chiede all’utente di eseguire tre passaggi sequenziali per dimostrare la propria umanità. Eseguire questa serie di pressioni di tasti induce Windows a scaricare malware per il furto di password.
Il passaggio 1 prevede la pressione simultanea del tasto con l’icona di Windows e della lettera “R”, che apre un prompt “Esegui” di Windows che eseguirà qualsiasi programma specificato già installato sul sistema.
Il passaggio 2 chiede all’utente di premere contemporaneamente il tasto “CTRL” e la lettera “V”, incollando codice malevolo dalla clipboard virtuale del sito.
Il passaggio 3 — premendo il tasto “Invio” — fa sì che Windows scarichi e avvii codice malevolo tramite “mshta.exe”, un programma di Windows progettato per eseguire file di applicazioni HTML di Microsoft.
Varietà di malware distribuiti
Questa campagna distribuisce diverse famiglie di malware comuni, tra cui XWorm, Lumma stealer, VenomRAT, AsyncRAT, Danabot e NetSupport RAT. A seconda del payload specifico, il codice lanciato tramite mshta.exe varia. Alcuni campioni hanno scaricato contenuti PowerShell, JavaScript e portable executable (PE).
Settori colpiti e metodi di attacco
Secondo Microsoft, i lavoratori del settore dell’ospitalità vengono ingannati a scaricare malware per il furto di credenziali da criminali informatici che si spacciano per Booking.com. Gli attaccanti inviano email malevole impersonando Booking.com, spesso facendo riferimento a recensioni negative di ospiti, richieste da parte di potenziali ospiti o opportunità di promozione online, tutto nel tentativo di convincere le persone a cadere in uno di questi attacchi ClickFix.
In novembre 2024, KrebsOnSecurity ha riportato che centinaia di hotel che utilizzano booking.com sono stati soggetti ad attacchi di phishing mirati. Alcuni di questi esche hanno funzionato, permettendo ai ladri di prendere il controllo degli account di booking.com. Da lì, hanno inviato messaggi di phishing chiedendo informazioni finanziarie a persone che avevano appena prenotato viaggi tramite l’app dell’azienda.
Attacchi nel settore sanitario
All’inizio di questo mese, la società di sicurezza Arctic Wolf ha avvertito di attacchi ClickFix che prendono di mira persone che lavorano nel settore sanitario. L’azienda ha affermato che quegli attacchi sfruttavano codice malevolo integrato nel sito di video di terapia fisica ampiamente utilizzato HEP2go, che reindirizzava i visitatori a un prompt ClickFix.
Fonte: Krebs on Security
Ricevi le ultime attualità sul mondo tech!