I ricercatori di Proofpoint hanno identificato una tecnica che sfrutta l’ingegneria sociale per eseguire script PowerShell e installare malware. Con questa tecnica osservata in uso da TA571 e dai cluster ClearFake e ClickFix, gli utenti vengono indotti a copiare e incollare script PowerShell nei loro PC Windows attraverso messaggi di errore ingannevoli che suggeriscono una soluzione ad un problema apparentemente reale spingendo così l’utente ad agire senza considerare il rischio.
La campagna ClearFake
In particolare la campagna ClearFake compromette siti web legittimi con HTML e JavaScript. Quando un utente visita uno di questi siti web compromessi, viene presentato un falso avviso che induce a installare un presunto certificato root per visualizzare correttamente il sito web. Se l’utente segue le istruzioni, avvia lo script PowerShell copiandolo e incollandolo nell’interfaccia a riga di comando di PowerShell.
ClearFake è stato visto utilizzare anche una tecnica nota come “EtherHiding”, che carica script ospitati sulla blockchain tramite i contratti Smart Chain di Binance.
Altri esempi
Gli altri due esempi menzionati dai ricercatori Proofpoint causano infezioni simili ma impiegando fasi iniziali diverse.
Infatti la catena di attacco associata al cluster ClickFix utilizza sui siti Web compromessi un iframe per sovrapporre un falso errore di Google Chrome. In tal caso agli utenti viene richiesto di aprire “Windows PowerShell (Admin)” e incollare il codice fornito,
Nella catena di infezioni afferente all’attore TA571 propagata invece tramite e-mail vengono utilizzati allegati HTML spacciati da presunti documenti di Microsoft Word che richiedono agli utenti di installare l’estensione “Word Online” per visualizzare correttamente i documenti.
Conclusioni
È fondamentale che gli utenti siano consapevoli di queste tecniche di ingegneria sociale e che evitino di eseguire comandi da fonti non verificate per proteggere la propria sicurezza informatica.
Anche se l’attacco richiede l’interazione dell’utente per riuscire, l’ingegneria sociale adottata è tale da convincere l’utente a credere di trovarsi di fronte a un problema autentico con una soluzione apparentemente valida e di agire impulsivamente, senza valutare adeguatamente i rischi associati.
Si sottolinea che questi script possono portare all’installazione di malware come DarkGate, Matanbuchus, NetSupport JaskaGO e Lumma Stealer.
Per gli IoC fare riferimento al report completo.