ClickFix: un nuovo schema di distribuzione malware
Un ingegnoso schema di distribuzione di malware, noto come ClickFix, è diventato ormai comune. In questo inganno, il visitatore di un sito web compromesso o malevolo viene invitato a distinguersi dai bot premendo una combinazione di tasti che induce Microsoft Windows a scaricare malware per il furto di password.
Simulazione dei test “Verifica che sei umano”
Gli attacchi ClickFix imitano i test “Verifica che sei umano” che molti siti web utilizzano per separare i visitatori reali dai bot che raschiano contenuti. Questo particolare inganno inizia solitamente con un popup sul sito web che appare in questo modo:
Questo attacco malware si presenta come un CAPTCHA destinato a separare gli umani dai bot. Cliccando sul pulsante “Non sono un robot” si genera un messaggio popup che chiede all’utente di eseguire tre passaggi sequenziali per dimostrare la propria umanità.
Passaggi per l’esecuzione del malware
L’esecuzione di questa serie di pressioni di tasti induce Windows a scaricare malware per il furto di password. Il passaggio 1 prevede la pressione simultanea del tasto con l’icona di Windows e della lettera “R”, che apre un prompt “Esegui” di Windows che eseguirà qualsiasi programma specificato già installato sul sistema.
Il passaggio 2 chiede all’utente di premere contemporaneamente il tasto “CTRL” e la lettera “V”, incollando codice malevolo dalla clipboard virtuale del sito. Il passaggio 3 — premendo il tasto “Invio” — fa sì che Windows scarichi e avvii codice malevolo tramite “mshta.exe”, un programma di Windows progettato per eseguire file di applicazioni HTML di Microsoft.
Varietà di malware distribuiti
Questa campagna distribuisce diverse famiglie di malware comuni, tra cui XWorm, Lumma stealer, VenomRAT, AsyncRAT, Danabot e NetSupport RAT. A seconda del payload specifico, il codice lanciato tramite mshta.exe varia. Alcuni campioni hanno scaricato contenuti PowerShell, JavaScript e eseguibili portatili (PE).
Settori presi di mira
Secondo Microsoft, i lavoratori del settore dell’ospitalità vengono ingannati a scaricare malware per il furto di credenziali da criminali informatici che si spacciano per Booking.com. Gli attaccanti hanno inviato email malevole impersonando Booking.com, spesso facendo riferimento a recensioni negative degli ospiti, richieste da parte di potenziali ospiti o opportunità di promozione online — tutto nel tentativo di convincere le persone a cadere in uno di questi attacchi ClickFix.
All’inizio di questo mese, la società di sicurezza Arctic Wolf ha segnalato attacchi ClickFix mirati a persone che lavorano nel settore sanitario. L’azienda ha affermato che quegli attacchi sfruttavano codice malevolo integrato nel sito di video di terapia fisica ampiamente utilizzato HEP2go, che reindirizzava i visitatori a un prompt ClickFix.
Fonte: Krebs on Security
Ricevi le ultime attualità sul mondo tech!
