McAfee Labs ha recentemente scoperto un metodo di distribuzione del malware altamente insolito, definito dai ricercatori come catena di infezione “Clickfix”.
La catena di attacco inizia con gli utenti che vengono attirati a visitare siti Web apparentemente legittimi ma compromessi. Dopo aver visitato, le vittime vengono reindirizzate a domini che ospitano finestre popup false che chiedono loro di incollare uno script in un terminale PowerShell.
Questo metodo di attacco rappresenta una forma sofisticata di ingegneria sociale, che sfrutta l’apparenza di autenticità di siti e documenti allegati per manipolare gli utenti e fargli eseguire script dannosi.
Questi siti Web compromessi sono spesso realizzati con cura per sembrare autentici, aumentando la probabilità di conformità dell’utente.
L’impossibilità di visualizzare la pagina o il documento per assenza di un componente ed il pop-up verosimile che invita facilmente ad una soluzione, sono un invito allettante che tiene basse le soglie di allerta dell’utente, lasciando libere di agire le leve emotive di urgenza, bisogno e curiosità.
Ecco come viene strutturato il Metodo di Attacco:
- Siti Web Compromessi: Gli utenti vengono attirati su siti Web apparentemente legittimi, accuratamente realizzati per sembrare autentici, questo può avvenire anche tramite allegati mail.
- Reindirizzamento a Domini Dannosi: Dopo aver visitato questi siti, magari in allegato alla missiva, le vittime vengono reindirizzate a domini che ospitano finestre popup false.
- Falsi Prompt di Errore: Le finestre popup di errore ingannano gli utenti inducendoli a eseguire azioni semplici che per risolvere il problema, che in realtà mirano ad incollare uno script in un terminale PowerShell senza che ne abbia consapevolezza.
- Script Codificati in Base64: Gli aggressori utilizzano script codificati in base64. Questi, una volta eseguiti, scaricano ed eseguono file HTA (HTML Application) da server remoti.
- Distribuzione di Malware: I file HTA distribuiscono malware come DarkGate e Lumma Stealer sul sistema target, che eseguiranno quindi furto di dati ed altre attività dannose per l’utente.
Una volta attivo, il malware compirà diverse attività dannose:
Tra queste, il furto di dati personali, l’elusione dei sistemi di rilevamento tramite la cancellazione del contenuto degli appunti, e la persistenza del malware nel sistema tramite l’esecuzione di processi in finestre ridotte a icona.
Qui la ricerca dei laboratori McAfee:
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/clickfix-deception-a-social-engineering-tactic-to-deploy-malware/
Mitigazioni Consigliate
In Italia, molte aziende affrontano sfide significative nella protezione contro queste sofisticate minacce informatiche.
Spesso, la consapevolezza delle tattiche di ingegneria sociale e degli schemi di phishing è limitata.
È fondamentale organizzare sessioni di formazione regolari per istruire gli utenti sulle tecniche di attacco più comuni. La formazione continua è una delle prime linee di difesa, poiché gli utenti ben informati sono meno propensi a cadere vittime di questi inganni.
La protezione degli endpoint è altrettanto cruciale. Le aziende devono installare e mantenere aggiornati software antivirus e antimalware su tutti i dispositivi. Tuttavia, molte piccole e medie imprese italiane trascurano l’importanza di aggiornamenti regolari, esponendo i propri sistemi a vulnerabilità facilmente sfruttabili.
Il filtraggio delle e-mail e del web rappresenta un’altra area critica. Implementare filtri e-mail efficaci può bloccare molte minacce prima che raggiungano l’utente finale. Inoltre, soluzioni di filtraggio web possono impedire l’accesso a siti web notoriamente dannosi. Anche in questo caso, la mancanza di investimenti in soluzioni avanzate di sicurezza può lasciare le aziende italiane esposte a rischi elevati.
L’implementazione di firewall e sistemi di rilevamento/prevenzione delle intrusioni (IDS/IPS) è fondamentale per monitorare e bloccare il traffico di rete dannoso. Tuttavia, molte aziende italiane mancano di personale qualificato per gestire e monitorare queste soluzioni, rendendo la loro rete vulnerabile.
La segmentazione della rete e l’applicazione del principio del privilegio minimo sono strategie efficaci per limitare la diffusione del malware all’interno di un’organizzazione. Questo significa ridurre al minimo l’accesso degli utenti alle risorse necessarie per svolgere il loro lavoro. La mancanza di policy di sicurezza rigorose e di segmentazione della rete è una debolezza comune tra molte imprese.
L’autenticazione a più fattori (MFA) è un ulteriore livello di sicurezza che può proteggere i dati sensibili. Implementare l’MFA aiuta a prevenire accessi non autorizzati, ma spesso le aziende italiane non adottano questa pratica per timore di complicare l’accesso ai sistemi da parte dei dipendenti.
Assicurarsi che tutti i sistemi operativi, i software e le applicazioni siano aggiornati con le ultime patch di sicurezza è essenziale. Tuttavia, la gestione degli aggiornamenti può essere una sfida logistica, soprattutto per le aziende con risorse IT limitate.
Monitorare e analizzare costantemente i registri di sistema e di rete per individuare segnali di compromissione è una pratica fondamentale per una sicurezza proattiva. La mancanza di strumenti di monitoraggio adeguati rende difficile per molte aziende italiane rilevare attività sospette in tempo reale.
La crittografia dei dati sensibili, sia in transito che a riposo, è un’altra misura di sicurezza importante per proteggere i dati da accessi non autorizzati. Infine, eseguire regolarmente il backup dei dati importanti e conservarli in modo sicuro è essenziale per garantire il recupero in caso di attacco ransomware o violazione dei dati.
In sintesi, affrontare queste sfide richiede un investimento significativo in formazione, strumenti di sicurezza avanzati e monitoraggio continuo. Solo attraverso un impegno costante e l’adozione di best practice di sicurezza le aziende italiane possono proteggersi efficacemente dalle minacce come la tecnica di social engineering Clickfix.
