Nel maggio 2024, i ricercatori di cybersecurity Proofpoint hanno identificato una nuova tattica di ingegneria sociale chiamata ClickFix. Questo metodo è stato utilizzato in varie campagne di distribuzione di malware, prendendo di mira sia gli utenti Windows che macOS.
ClickFix sfrutta falsi messaggi di errore nei browser web per ingannare gli utenti e far eseguire loro script PowerShell dannosi, portando a infezioni di sistema e potenziali violazioni dei dati.
Come funziona ClickFix
La tattica ClickFix inizia tipicamente con l’attrarre gli utenti a visitare siti web apparentemente legittimi. Una volta visitati, le vittime vengono reindirizzate a domini che ospitano finestre popup false con messaggi di errore che istruiscono gli utenti a copiare e incollare uno script nel loro terminale PowerShell, con il pretesto di risolvere un presunto problema.
L’ultimo rapporto del team Sekoia evidenzia che le campagne ClickFix si sarebbero evolute utilizzando come esca anche Google Meet, il noto servizio di videoconferenza, con e-mail di phishing, mirate ad aziende di trasporto e logistica, che sembrano inviti legittimi di Google Meet relativi a riunioni di lavoro.
Una volta che la vittima accede alla falsa pagina d’invito, riceve un messaggio pop-up che la informa di un problema al microfono o alle cuffie. Cliccando sul tasto “Try Fix” si avvia un processo di infezione standard di ClickFix, in cui il codice PowerShell copiato dal sito Web e incollato nel prompt di Windows infetta il computer con un malware, recuperando il payload da un dominio specifico.
Tra i payload rilevati ci sarebbero Stealc e Rhadamanthys su Windows, AMOS Stealer su macOS. Oltre a Google Meet, Sekoia avrebbe anche identificato diversi altri cluster di distribuzione di malware, tra cui Zoom, progetti web3 (NGT Studio) e app di messaggistica (Nortex).
Campagne e attribuzione
Dalla sua comparsa, diverse campagne di distribuzione di malware hanno utilizzato la tattica ClickFix. Queste campagne spesso coinvolgono e-mail di phishing con allegati HTML mascherati da documenti Word che una volta aperti mostrano falsi prompt di errore, ingannando gli utenti e facendoli eseguire lo script PowerShell dannoso. Secondo Sekoia alcune delle campagne più recenti sarebbero state condotte da due gruppi criminali, Slavic Nation Empire (SNE) e Scamquerteo, considerati sottogruppi delle gang Marko Polo e CryptoLove.
Conclusione
La tattica ClickFix rappresenta una forma sofisticata di ingegneria sociale, sfruttando l’apparenza di autenticità per manipolare gli utenti e far eseguire loro script dannosi. È essenziale che gli utenti siano consapevoli di queste minacce e adottino misure preventive per proteggere la sicurezza dei propri sistemi e la privacy dei dati. Per proteggersi dagli attacchi ClickFix, si consiglia di:
- fare attenzione ai messaggi di errore sospetti;
- verificare gli script prima di copiarli e incollarli da fonti sconosciute;
- usare sempre software di sicurezza aggiornati;
- abilitare l’autenticazione 2FA per aggiungere un ulteriore livello di sicurezza per l’accesso agli account.