Gli hacker sfruttano le truffe ‘ClickFix’ per diffondere Malware

Gli hacker sfruttano l’ingegneria sociale di “ClickFix”, ingannando gli utenti con falsi errori o CAPTCHA per eseguire PowerShell, diffondendo malware a livello globale dal 2024.

I cybercriminali stanno impiegando sempre più spesso una tattica subdola di ingegneria sociale chiamata “ClickFix” per distribuire malware, mirando all’istinto degli individui di risolvere problemi autonomamente.

Una ricerca di Proofpoint ha rivelato lunedì l’uso crescente di questo metodo, che è stato osservato in numerose campagne a partire da marzo 2024.

La tecnica “ClickFix” si basa su finti messaggi di errore visualizzati attraverso finestre di dialogo a comparsa. Questi messaggi appaiono legittimi e incoraggiano gli utenti a risolvere da soli un presunto problema, spiega Proofpoint.

Spesso, le istruzioni indicano agli utenti di copiare e incollare uno script fornito nel loro terminale PowerShell del computer, uno strumento utilizzato per eseguire comandi sui sistemi Windows. Senza che l’utente ne sia a conoscenza, questa azione scarica ed esegue software dannosi.

Proofpoint ha visto questo approccio utilizzato in email di phishing, URL dannosi e siti web compromessi.

Gli autori di minacce mascherano le loro truffe come notifiche provenienti da fonti fidate come Microsoft Word, Google Chrome e persino servizi locali adattati a specifici settori, come la logistica o il trasporto.

Una variante particolarmente astuta di ClickFix incorpora false sfide CAPTCHA, dove agli utenti viene chiesto di “dimostrare di essere umani”, spiega Proofpoint.

Il trucco CAPTCHA è abbinato a istruzioni per eseguire comandi maligni che installano malware come AsyncRAT, DarkGate o Lumma Stealer. In particolare, un kit di strumenti per questa tattica fake CAPTCHA è apparso su GitHub, rendendo più facile per i criminali usarlo.

Secondo Proofpoint, gli hacker hanno preso di mira una serie di organizzazioni a livello globale, tra cui entità governative in Ucraina. In un caso, hanno impersonato GitHub, utilizzando falsi allarmi di sicurezza per indirizzare gli utenti verso siti web maligni.

Queste truffe hanno portato a infezioni da malware in oltre 300 organizzazioni.

Ciò che rende ClickFix così efficace è la sua capacità di eludere molte misure di sicurezza. Dal momento che gli utenti eseguono volontariamente i comandi dannosi, i filtri di posta elettronica tradizionali e gli strumenti anti-virus sono meno propensi a segnalare l’attività, afferma Proofpoint.

Proofpoint sottolinea che questa tattica fa parte di una tendenza più ampia nell’hacking: manipolare il comportamento umano piuttosto che sfruttare semplicemente le vulnerabilità tecniche. Gli hacker contano sulla disponibilità degli utenti a risolvere i problemi autonomamente, spesso bypassando i team IT nel processo.

Per contrastare questa minaccia, le organizzazioni dovrebbero educare i dipendenti riguardo le truffe ClickFix, rafforzando l’importanza dello scetticismo verso le istruzioni non richieste per la risoluzione dei problemi.

Rimanere vigili e segnalare email o popup sospetti può aiutare a prevenire il rischio di cadere vittima di questi astuti attacchi.