Nel panorama sempre più complesso della sicurezza informatica, una nuova campagna di malware sta prendendo di mira gli utenti di Google Meet tramite pagine false, nota come ClickFix. Questa campagna sfrutta la manipolazione delle percezioni degli utenti, inducendoli a eseguire codici malevoli, in particolare su sistemi Windows e macOS. La strategia si basa su messaggi di errore ingannevoli mostrati nei browser web, che convincono gli utenti a copiare e eseguire un codice PowerShell malevolo, portando all'infezione del sistema. Questa tattica ingegnosa elude spesso i sistemi di sicurezza, poiché richiede l'azione manuale dell'utente per attivare il codice dannoso.

Varianti della campagna

Le varianti della campagna ClickFix, conosciuta anche come ClearFake e OneDrive Pastejacking, sono state ampiamente segnalate negli ultimi mesi. Gli attori delle minacce approfittano di diversi stratagemmi per dirottare gli utenti verso pagine fasulle che simulano servizi online popolari, come Facebook, Google Chrome, e ora anche Google Meet e Zoom. Tra i domini utilizzati per queste truffe figurano indirizzi come meet.google.com-join[.]us e webroom-zoom[.]us, progettati per sembrare legittimi.

Su sistemi Windows, l'attacco culmina con l'installazione di infostealers come StealC e Rhadamanthys, mentre per gli utenti macOS viene fornito un file immagine disco trappola ("Launcher_v1.94.dmg") che installa un altro stealer chiamato Atomic. Questi metodi di ingegneria sociale sono distintivi per la loro capacità di evitare il rilevamento da parte degli strumenti di sicurezza, poiché l'esecuzione del comando PowerShell è attivata manualmente dagli utenti.

Attribuzione della campagna

Secondo Sekoia, la campagna ClickFix è attribuita a due gruppi di traffer, la Slavic Nation Empire e Scamquerteo, che operano sotto i gruppi più ampi markopolo e CryptoLove. Questi gruppi utilizzano lo stesso modello di ClickFix, suggerendo una condivisione di materiali e infrastrutture. Ciò solleva la possibilità che entrambi i gruppi stiano utilizzando lo stesso servizio di cybercriminalità ancora sconosciuto, gestito da una terza parte.

Evoluzione della minaccia

Questa evoluzione si inserisce nel contesto di nuove campagne di malware che distribuiscono infostealers open-source come ThunderKitty, che condivide somiglianze con Skuld e Kematian Stealer, oltre a nuove famiglie di stealer denominate Divulge, DedSec, Duck, Vilsa e Yunit. La crescita degli infostealers open-source rappresenta un cambiamento significativo nel mondo delle minacce informatiche, abbassando la barriera d'ingresso e favorendo l'innovazione rapida, aumentando il rischio complessivo per aziende e individui.