Già da qualche mese abbiamo iniziato ad assistere ad alcune truffe che sfruttavano tecniche piuttosto nuove che, per gli utenti meno esperti, possono portare a gravi problemi all’interno dei propri sistemi. Come spesso spieghiamo su questo blog, tutte le minacce online mutano nel tempo, cercando di eludere sempre meglio le difese oppure soltanto per non essere monotone, quindi per rendere molto più difficile bloccarle. Per questo e molti altri motivi, è sempre importante aggiornarsi sulle novità usando canali ufficiali o siti specializzati, come ad esempio CERT-AgID, messo a disposizione dalla omonima agenzia per approfondire i temi più “caldi” della cybersecurity in Italia e per conoscere le truffe più recenti e pericolose segnalate dagli utenti e dagli esperti.
Nel caso di oggi torniamo a vedere una campagna phishing che sfrutta il servizio di spedizioni GLS, utilizzato in tutto il territorio nazionale, per indurre le potenziali vittime a dare il via ad una offensiva che mira al controllo totale dei device. La strategia si chiama ClickFix e l’abbiamo già vista nel marzo scorso per una truffa che in quel caso sfruttava il nome di Booking per diffondere il malware chiamato Lumma Stealer, mentre in questo caso si sta tentando di diffondere un trojan chiamato Remcos RAT, uno dei più diffusi anche nel nostro paese. Scendendo un po’ più nel dettaglio tecnico, la mail ricevuta da coloro che sono finiti nel mirino degli hacker contiene un finto messaggio GLS che spiega come non sia stato possibile effettuare una consegna per via di un indirizzo errato, invitando pertanto a compilare il modulo per segnalare il problema.
Il modulo è un allegato, in formato XHTML che dopo essere passato dalla decodifica fa arrivare l’ignaro utente in una pagina ospitata su un dominio fasullo che si appoggia ad una piattaforma chiamata Netlify, utilizzata per sviluppare siti e applicativi web. La pagina, nonostante un URL palesemente diverso da quello di GLS, riprende lo stile del portale ufficiale dell’azienda di spedizionieri con il finto tracking di una spedizione che recita che non è stato, appunto, possibile fare arrivare il pacco, invitando a rimodulare la spedizione. Iniziano quindi le spiegazioni per portare l’utente a far sfruttare la strategia ClickFix, ovvero si pone un Captcha fasullo sulla pagina dove ci si collega e poi, passo passo si spiega che vanno inseriti ed incollati nella finestra Esegui alcuni comandi, cosa che apparentemente sembra legittima ma che invece porta all’attivazione di codice malevolo. C’è da sottolineare che siccome tutte queste azioni vengono compiute scientemente da un soggetto che ha il controllo del device, questa campagna di phishing è molto più difficile da neutralizzare rispetto ad altre.
Senza addentrarci nei più minuziosi dettagli tecnici, che possono essere osservati sul portale CERT-AgID, tutte queste procedure portano al download ed alla attivazione di Remcos RAT, che può controllare i device da remoto e quindi eseguire azioni dannose oltre chiaramente a rubare dati ed informazioni. Questo genere di campagna sta iniziando ormai a imperversare negli ultimi anni, visto che come abbiamo detto questa tecnica chiamata ClickFix è più difficile da combattere rispetto al phishing più classico e basato solo su finte piattaforme e URL simili agli originali. Qui ci sono sicuramente tutti questi fattori ma si va ancora più in profondità, senza accontentarsi di rubare un dato finanziario o il numero di una carta di credito ma puntando direttamente al controllo degli interi device. Questo è molto pericoloso, sicuramente, per i soggetti privati ma lo è ancora di più per i soggetti che usano account aziendali, e sappiamo bene cosa implica subire la perdita di controllo dei dispositivi in certi contesti. CERT-AgID ci tiene a precisare che in Italia è ancora poco frequente, sebbene in netta crescita, il ricorso a ClickFix, mentre all’estero è una strategia molto radicata ormai, poiché anziché puntare sulle vulnerabilità note punta su tecniche di ingegneria sociale ed errori umani, molto meno rilevabili anche dai sistemi più sofisticati di cybersecurity.
Fonte: 1
