Negli ultimi tempi, il panorama della sicurezza informatica ha visto l’emergere di un nuovo tipo di attacco noto come ClickFix. Questa tecnica, che si basa sull’ingegneria sociale, è particolarmente insidiosa poiché riesce a eludere i sistemi di protezione tradizionali, come gli antivirus, facendo leva su azioni apparentemente innocue da parte degli utenti.
Recenti ricerche condotte da Securonix hanno rivelato una campagna che sfrutta la ben nota schermata blu della morte (BSOD) di Windows per diffondere malware, prendendo di mira soprattutto il settore alberghiero in Europa. I cybercriminali inviano email che sembrano provenire da piattaforme affidabili come Booking.com, creando un falso allarme di cancellazione di prenotazione per indurre le vittime a cliccare su link malevoli.
Meccanismi dell’attacco ClickFix
Il modus operandi degli attacchi ClickFix è astuto e subdolo. L’email di phishing, che si presenta come una comunicazione legittima, genera un senso di urgenza nelle vittime, spingendole a interagire senza riflettere. La somma elevata menzionata nella comunicazione (spesso oltre 1.000 euro) aumenta ulteriormente questa pressione.
La trappola del phisher
Quando la vittima clicca sul link fornito, viene indirizzata a una pagina che replica perfettamente l’aspetto del sito di Booking.com, utilizzando colori, loghi e caratteri identici. Tuttavia, il dominio è diverso e non riconoscibile. Un codice JavaScript presente sulla pagina genera un errore di caricamento che invita a ricaricare la pagina. Questo è il primo passo per cadere nella trappola.
Se l’utente ignora il campanello d’allarme e clicca sul pulsante, verrà mostrata una falsa schermata blu di errore di Windows.
A questo punto, le vittime meno esperte possono seguire le istruzioni, aprire la finestra di comando Esegui e incollare un comando malevolo, avviando così una serie di operazioni dannose.
Le conseguenze dell’attacco
Una volta eseguito il comando, si apre la vera pagina di login di Booking.com, ma nel frattempo, è stato scaricato un progetto .NET sul computer della vittima. Questo progetto viene poi compilato utilizzando MSBuild.exe, se presente nel sistema. Inoltre, il malware apporta modifiche alle impostazioni di Windows Defender, consentendo ai cybercriminali di avere diritti di amministratore sul dispositivo della vittima.
Il pericolo del DCRat
Il culmine dell’attacco si concretizza con il download di un file eseguibile noto come DCRat, un Remote Access Trojan (RAT). Questo software malevolo consente ai criminali informatici di controllare il computer della vittima, eseguire operazioni a distanza e compromettere la sicurezza dei dati.
Tra le sue funzionalità, il keylogging e l’installazione di miner di criptovalute rappresentano gravi minacce per la privacy e la sicurezza degli utenti.
Prevenzione e protezione
Per proteggersi da questi attacchi, è fondamentale adottare alcune precauzioni. Innanzitutto, è essenziale prestare attenzione ai dettagli delle email ricevute e verificare sempre l’indirizzo del mittente. Non cliccare mai su link sospetti e, in caso di dubbio, è meglio contattare direttamente il servizio clienti dell’azienda coinvolta.
Inoltre, mantenere aggiornati i propri software e antivirus è un passo cruciale per difendersi da minacce conosciute. Utilizzare strumenti di sicurezza avanzati e fare attenzione a eventuali attività sospette sui propri dispositivi può prevenire danni significativi.
