Gli esperti di Proofpoint hanno individuato diverse campagne malware che sfruttano tecniche di ingegneria sociale per infettare i computer di ignare vittime. I cybercriminali iniettano codice in alcuni siti per mostrare falsi errori di Chrome, quando l’utente vista la pagina web. Il messaggio consiglia di scaricare ed eseguire un fix per risolvere il problema.
Script PowerShell per un problema inesistente
La prima campagna, denominata ClearFake, è stata scoperta all’inizio di aprile. Quando l’utente visita un sito compromesso con Chrome vede sullo schermo un avviso che segnala la mancanza di un certificato root necessario per la corretta visualizzazione della pagina.
Se l’ignara vittima segue le istruzioni indicate verrà eseguito sul computer uno script PowerShell che, dopo vari passaggi, scarica un archivio ZIP. Quest’ultimo contiene un eseguibile che carica in memoria Lumma Stealer e scarica tre payload aggiuntivi dal server C2 (command and control): Amadey Loader, un downloader per il cryptominer XMRig e un clipboard hijacker che sostituisce l’indirizzo del wallet copiato negli appunti con quello del wallet gestito dai cybercriminali. Amadey scarica a sua volta un quinto malware (JaskaGO).
La seconda campagna è stata denominata ClickFix. In questo caso, l’avviso indica che il problema è stato causato dall’ultimo aggiornamento di Chrome. Se l’utente segue il consiglio ed esegue lo script PowerShell si ritroverà sul computer il famigerato Vidar Stealer.
La tecnica usata nelle due campagne è simile e richiede l’interazione dell’utente. Per questo motivo non deve essere cliccato su nessun pulsante presente in pop-up mostrati sullo schermo. Deve essere subito chiuso il browser e cancellati tutti i dati di navigazione.