Negli ultimi giorni è stata segnalata l’attività di nuove campagne malware che fanno leva sul social engineering per spingere gli utenti a copiare e incollare script PowerShell dannosi per infettare i loro computer. I ricercatori di Proofpoint hanno osservato che, gli attori delle minacce, tra cui il broker di accesso iniziale TA571 e almeno un set di attività di falsi aggiornamenti, stanno utilizzando questo metodo per distribuire malware tra cui DarkGate, Matanbuchus, NetSupport e vari information stealer.
Proofpoint ha osservato per la prima volta l’uso di questa tecnica da parte di TA571 in una campagna malware del 1 marzo 2024 che comprendeva oltre 100.000 messaggi e aveva come obiettivo migliaia di aziende in tutto il mondo.
I cybercriminali iniettano codice in alcuni siti per mostrare falsi errori di Chrome, quando l’utente vista la pagina web. Il messaggio consiglia di scaricare ed eseguire un fix per risolvere il problema. Agli utenti viene mostrato un popup di testo che suggerisce che si è verificato un errore durante il tentativo di aprire il documento o la pagina web e vengono fornite istruzioni per copiare e incollare uno script dannoso nel terminale PowerShell o nella finestra di dialogo Esegui di Windows per eseguire infine lo script tramite PowerShell.
Campagne malware ClearFake e ClickFix: l’interazione della vittima è fondamentale
La prima campagna malware, chiamata ClearFake, è stata scoperta a inizio aprile. Quando l’utente visitava un sito compromesso con Chrome veniva mostrato un messaggio popup che segnalava la mancanza di un certificato root necessario per la corretta visualizzazione della pagina.
Se la vittima seguiva le istruzioni, veniva eseguito uno script PowerShell che, dopo vari passaggi, scaricava un archivio ZIP contenente un file .exe che caricava in memoria Lumma Stealer, scaricando tre payload aggiuntivi dal server C2 (command and control).
Nella seconda campagna malware, denominata ClickFix, veniva mostrato un avviso che indicava che il problema fosse causato dall’ultimo aggiornamento di Chrome. Se l’utente avesse seguito il consiglio ed eseguito lo script PowerShell, avrebbe scaricato sul computer Vidar Stealer. Pochi giorni dopo la scoperta, il dominio del payload utilizzato nel PowerShell è stato messo offline. Pertanto, nonostante l’errore sia stato visualizzato sui siti compromessi, non ha potuto portare a un’infezione.
L’ingegneria sociale dei falsi messaggi di errore è particolarmente insidiosa perché si presenta come notifica autorevole proveniente dal sistema operativo, in grado di fornire sia il problema che la soluzione, in modo che l’utente agisca immediatamente senza considerare il rischio.
La tecnica usata nelle due campagne malware è simile e richiede l’interazione umana. Questo sottolinea ancora una volta l’importanza di una corretta formazione alla sicurezza dei dipendenti da parte delle aziende. Sempre più spesso i cybercriminali fanno leva sul fattore umano per colpire singole persone e, tramite loro, le organizzazioni di cui fanno parte.
