La tattica di social engineering ClickFix, che utilizza verifiche CAPTCHA false, ha visto un aumento del 517% tra la seconda metà del 2024 e la prima metà di quest’anno, secondo i dati di ESET. Questo metodo ingannevole sfrutta messaggi di errore fasulli o controlli CAPTCHA per indurre le vittime a copiare e incollare uno script dannoso nel dialogo Esegui di Windows o nell’app Terminale di macOS, eseguendolo. Le minacce derivanti dagli attacchi ClickFix sono in costante crescita, includendo infostealer, ransomware, trojan di accesso remoto, cryptominer, strumenti di post-exploitation e persino malware personalizzati da attori di minacce allineati con stati nazionali.
Diffusione globale e nuove varianti
La Slovacchia è tra i paesi con il maggior numero di rilevamenti di ClickFix, insieme a Giappone, Perù, Polonia e Spagna. La popolarità e l’efficacia di questo metodo di attacco hanno portato gli attori delle minacce a pubblicizzare strumenti che forniscono pagine di destinazione armate di ClickFix ad altri aggressori. Nel frattempo, il ricercatore di sicurezza mrd0x ha dimostrato un’alternativa a ClickFix chiamata FileFix. Questa tecnica inganna gli utenti facendogli copiare e incollare un percorso di file in Windows File Explorer, sfruttando la capacità di quest’ultimo di eseguire comandi del sistema operativo tramite la barra degli indirizzi.
FileFix: un nuovo approccio
In uno scenario di attacco ideato dal ricercatore, una pagina di phishing potrebbe presentare un messaggio che informa l’utente di un documento condiviso, invitandolo a copiare e incollare il percorso del file nella barra degli indirizzi premendo CTRL + L. La pagina di phishing include anche un pulsante “Apri File Explorer” che, una volta cliccato, apre l’Explorer e copia un comando PowerShell dannoso negli appunti dell’utente. Quando la vittima incolla il “percorso del file”, viene eseguito il comando dell’attaccante. Questo è ottenuto alterando il percorso del file copiato per anteporre il comando PowerShell, nascondendolo con spazi e un segno di commento.
Campagne di phishing in aumento
Il boom delle campagne ClickFix coincide con la scoperta di varie campagne di phishing recenti. Queste sfruttano domini .gov per inviare email di phishing che si spacciano per notifiche di pedaggi non pagati, portando gli utenti a pagine false progettate per raccogliere informazioni personali e finanziarie. Inoltre, utilizzano domini a lunga durata (LLD) per aumentare la credibilità delle loro truffe. La crescente sofisticazione di queste tecniche sottolinea l’importanza di rimanere vigili e informati sulle minacce emergenti nel panorama della sicurezza informatica.
Fonte: The Hackers News
