L’ingegneria sociale è spesso utilizzata per manipolare gli utenti e ottenere l’accesso a informazioni sensibili. Uno degli attacchi più efficaci è noto come ClickFix. Non richiede complesse infrastrutture, quindi ha un costo quasi nullo per i cybercriminali. Negli ultimi mesi è aumentata la diffusione di una variante, nota come FileFix.
ClickFix: descrizione dell’attacco
La tecnica è ingegnosa e semplice allo stesso tempo. L’ignara vittima finisce su un sito web (spesso mostrato tra i risultati dei motori di ricerca e simile a quello legittimo) e vede un CAPTCHA oppure un messaggio relativo ad un presunto bug del browser da risolvere (da cui il nome ClickFix). Il sito è stato compromesso con l’iniezione di codice JavaScript infetto.
Dopo aver cliccato sul CAPTCHA o sul messaggio, l’utente vede le istruzioni da seguire, ovvero premere le combinazioni di tasti Win + R (che apre la finestra Esegui), Ctrl + V (che copia negli appunti un codice PowerShell) e Invio. Il codice PowerShell, eseguito in background, scarica quindi una serie di file, installa il malware sul computer e aggiunge una chiave al registro di Windows per la persistenza (esecuzione ad ogni riavvio e login).
I cybercriminali sfruttano questa efficace tecnica per distribuire ogni tipo di infezione, tra cui infostealer e RAT (Remote Access Trojan). Se non è presente nessuna soluzione di sicurezza, gli utenti “regalano” numerosi dati sensibili e perdono anche il controllo del computer.
Da fine giugno viene utilizzata la variante FileFix. In questo caso viene chiesto di copiare il comando PowerShell nella barra degli indirizzi di Esplora file. L’ignara vittima vede solo un innocuo percorso. Il risultato finale è lo stesso: download del malware e furto di dati.
Gli utenti devono quindi utilizzare una soluzione di sicurezza che rileva e blocca in tempo reale la minaccia nel browser e l’accesso alla clipboard (appunti) di Windows.