Social engineering, Proofpoint rivela la forte crescita di ClickFix

redazione

I ricercatori Proofpoint hanno pubblicato una nuova ricerca che rivela l’adozione diffusa di una tecnica di social engineering unica nel suo genere, denominata ClickFix, che induce gli utenti a eseguire comandi PowerShell pericolosi tramite messaggi di errore ingannevoli, aggirando la sicurezza e facendo sì che le vittime si infettino inconsapevolmente.
Osservata inizialmente all’inizio di quest’anno da parte del broker di accesso iniziale TA571 e da un cluster di minacce di siti web di aggiornamento fasulli noti come ClearFake, ClickFix ha recentemente intensificato la sua presenza e viene utilizzato da una gamma molto più ampia di cybercriminali.
Tra gli elementi principali emersi dalla ricerca:
• Sfruttata la disponibilità: ClickFix fa leva sul desiderio degli utenti di risolvere problemi, presentando soluzioni apparentemente semplici che portano all’esecuzione del malware.
• Diverse esche e metodi di delivery: i malintenzionati si spacciano per software comuni, come Microsoft Word e Google Chrome, oltre che per soluzioni specifiche di settore, ad esempio per i trasporti e la logistica. ClickFix viene distribuito attraverso numerosi canali, tra cui siti compromessi, documenti dannosi, allegati HTML e URL.
• Utilizzati CAPTCHA falsi: una minaccia crescente riguarda l’uso di CAPTCHA fittizi, con il pretesto di “verificare la natura umana” per ingannare ulteriormente gli utenti. Spesso si sfrutta il toolkit open-source reCAPTCHA Phish.
• Distribuiti numerosi malware: lnelle campagne ClickFix sono state diffuse diverse famiglie di malware, tra cui AsyncRAT, Danabot, DarkGate, Lumma Stealer, NetSupport, Brute Ratel C4, Latrodectus e XWorm.
• Varietà di settori e ambiti colpiti: sebbene sia principalmente usato a scopi finanziari, ClickFix è stato rilevato anche in sospette campagne di spionaggio, come quelle rivolte a enti governativi in Ucraina. In particolare, unaha colpito almeno 300 organizzazioni a livello globale.

Se l’efficacia dei vettori di attacco tradizionali è in calo costante, sempre più spesso gli attori delle minacce puntano sulla manipolazione del comportamento umano. La ricerca completa è disponibile a questo link.