Black Basta è senza dubbio il gruppo di cybercriminali più attivo del momento, come dimostra l’accesso ai sistemi di Synlab Italia. Microsoft ha rilevato che, da metà aprile, sono in corso attacchi di ingegneria sociale che sfruttano il tool Quick Assist (Assistenza rapida) di Windows per installare il ransomware sui computer delle ignare vittime.
Vishing e Quick Assist
Quick Assist è un software che permette l’accesso remoto ad un computer, solitamente per la risoluzione di problemi. Viene preinstallato su Windows 11 e può essere scaricato dal Microsoft Store. Ma in modo analogo ad altri tool simili può essere sfruttato per attività criminali, come il furto di dati o la distribuzione di malware.
L’azienda di Redmond ha individuato attacchi di ingegneria sociale da parte del gruppo Black Basta. Dopo aver inviato numerose email relative a servizi in abbonamento, i cybercriminali contattano l’utente tramite telefono, offrendo assistenza per risolvere il problema dello spam, in quanto dicono di far parte del team di supporto tecnico.
Viene quindi chiesto di aprire Quick Assist con la combinazione Ctrl + Windows + Q, inserire il codice fornito e consentire la condivisione dello schermo. Se poi l’utente accetta la richiesta di controllo remoto, i cybercriminali eseguono un comando cURL per scaricare vari file batch o ZIP usati per installare diversi payload, tra cui QBot, ScreenConnect, NetSupport Manager e Cobalt Strike.
A questo punto termina la telefonata e inizia la ricerca di dati sensibili (credenziali e altri) o dei computer connessi alla stessa rete. In alcuni casi viene stabilita la persistenza con OpenSSH. Usando il tool PsExec viene infine distribuito il ransomware Black Basta. Tra i consigli forniti da Microsoft c’è quello di rimuovere Quick Assist, se non utilizzato.