Negli ultimi mesi del 2024 e all’inizio del 2025, diversi gruppi di hacker sponsorizzati dallo stato provenienti da Iran, Corea del Nord e Russia sono stati scoperti mentre utilizzavano la sempre più popolare tattica di ingegneria sociale ClickFix per distribuire malware. Le campagne di phishing che adottano questa strategia sono state attribuite a gruppi come Kimsuky, MuddyWater, UNK_RemoteRogue e APT28.
ClickFix: una tecnica di accesso iniziale
ClickFix è una tecnica di accesso iniziale che è stata principalmente associata a gruppi di criminalità informatica. Tuttavia, l’efficacia di questo approccio ha portato anche i gruppi di stati nazionali ad adottarlo. Secondo un rapporto pubblicato oggi dall’azienda di sicurezza aziendale Proofpoint, l’incorporazione di ClickFix non sta rivoluzionando le campagne condotte da TA427, TA450, UNK_RemoteRogue e TA422, ma sta sostituendo le fasi di installazione ed esecuzione nelle catene di infezione esistenti.
Come funziona ClickFix
In sintesi, ClickFix si riferisce a una tecnica subdola che spinge gli utenti a infettare il proprio computer seguendo una serie di istruzioni per copiare, incollare ed eseguire comandi dannosi con il pretesto di risolvere un problema, completare una verifica CAPTCHA o registrare il proprio dispositivo.
Campagna di phishing di Kimsuky
Proofpoint ha rilevato per la prima volta l’uso di ClickFix da parte di Kimsuky tra gennaio e febbraio 2025, come parte di una campagna di phishing che ha preso di mira individui in meno di cinque organizzazioni nel settore dei think tank. TA427 ha stabilito il contatto iniziale con l’obiettivo attraverso una richiesta di incontro inviata ai tradizionali obiettivi di TA427 che lavorano su questioni relative alla Corea del Nord.
Catena di infezione di TA427
Dopo una breve conversazione per coinvolgere l’obiettivo e costruire fiducia, come spesso si vede nell’attività di TA427, gli attaccanti hanno indirizzato l’obiettivo a un sito controllato dagli attaccanti dove lo hanno convinto a eseguire un comando PowerShell. La catena di attacco, ha spiegato l’azienda, ha avviato una sequenza a più fasi che si è conclusa con il dispiegamento di un trojan di accesso remoto open-source chiamato Quasar RAT.
Catena di infezione di TA450
Il messaggio email, che sembrava provenire da un diplomatico giapponese, chiedeva al destinatario di organizzare un incontro con l’ambasciatore giapponese negli Stati Uniti. Durante la conversazione, gli attori della minaccia hanno inviato un PDF dannoso contenente un link a un altro documento con un elenco di domande da discutere durante l’incontro. Cliccando sul link, la vittima veniva indirizzata a una pagina di destinazione falsa che imitava il sito web dell’Ambasciata giapponese, che poi chiedeva loro di registrare il proprio dispositivo copiando e incollando un comando nella finestra di dialogo Esegui di Windows per scaricare il questionario.
Il comando PowerShell di ClickFix recupera ed esegue un secondo comando PowerShell ospitato in remoto, che mostrava all’utente il PDF esca menzionato in precedenza nella catena (Questionnaire.pdf). Il documento affermava di provenire dal Ministero degli Affari Esteri del Giappone e conteneva domande riguardanti la proliferazione nucleare e la politica nel Nordest asiatico.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!
