Negli ultimi tempi, i cybercriminali hanno adottato tecniche sempre più sofisticate per ingannare le loro vittime. Uno dei metodi più recenti è rappresentato dagli attacchi ClickFix, che si avvalgono di strumenti specifici per mascherare le proprie azioni. Tali attacchi riescono a eludere la maggior parte dei sistemi di protezione, come gli antivirus, portando gli utenti a compiere operazioni apparentemente innocue.
Una nuova ondata di attacchi, identificata dai ricercatori di Securonix, si concentra sulla temuta schermata blu della morte, comunemente nota come BSOD (Blue Screen Of Death) di Windows. Questa campagna ha come obiettivo principale il settore alberghiero in Europa e si basa su tecniche di ingegneria sociale altamente mirate.
La dinamica dell’attacco
Il modus operandi di questo attacco inizia con l’invio di email che sembrano provenire da Booking.com.
I messaggi informano le vittime di una presunta cancellazione della loro prenotazione da parte di un cliente, citando una somma considerevole, oltre 1.000 euro, che genera un immediato senso di urgenza. Questo stratagemma riesce a indurre gli utenti a cliccare su link che li portano a un sito web malevolo, spesso senza che se ne rendano conto.
Il sito ingannevole
Una volta cliccato il link, gli utenti vengono reindirizzati a una pagina che imita perfettamente il layout di Booking.com, utilizzando colori, loghi e caratteri molto simili all’originale. Tuttavia, il dominio del sito è diverso e facilmente riconoscibile solo da utenti più esperti. All’interno della pagina, uno script JavaScript genera un falso messaggio di errore che informa l’utente che il caricamento sta richiedendo troppo tempo.
A questo punto, viene visualizzato un pulsante per ricaricare la pagina.
Cliccando su questo pulsante, l’utente si trova di fronte a un’immagine della schermata blu di Windows. È importante notare che si tratta di una simulazione e non della vera schermata di errore. Un utente accorto può semplicemente chiudere il browser per uscire dalla trappola, ma chi ha meno esperienza potrebbe cadere nel tranello e seguire le istruzioni fornite.
Le conseguenze dell’attacco
Seguendo le indicazioni mostrate nella pagina ingannevole, gli utenti possono aprire la finestra di esecuzione e copiare e incollare un comando da un’area di appunti. Premendo Invio, si attiva un comando PowerShell che non solo apre la vera pagina di login di Booking.com, ma scarica anche un progetto .NET in background.
Questo progetto viene successivamente compilato con MSBuild.exe, se presente sul computer dell’utente.
Il download del malware
Il passo finale dell’attacco prevede il download di un file eseguibile, che in questo caso è DCRat, un trojan di accesso remoto (RAT). Questo malware consente ai cybercriminali di controllare il computer della vittima, registrare le sequenze di tasti (keylogging) e persino installare un miner di criptovalute.
La gravità di questo attacco risiede nella sua capacità di sfruttare l’ingenuità degli utenti, un fenomeno che sta diventando sempre più comune nel panorama della cybersecurity. Per proteggersi, è fondamentale prestare attenzione ai dettagli e diffidare di messaggi che creano un senso di urgenza, soprattutto quando si tratta di gestire informazioni sensibili.
