ClickFix è il nome di una tattica di ingegneria sociale usata dal mese di marzo con lo scopo di installare info-stealer sul computer. Gli esperti di Sekoia hanno recentemente individuato una versione aggiornata che prende di mira Google Meet. In altri casi viene sfruttata la popolarità di Facebook.
Dettagli della campagna malware
All’inizio di marzo, la campagna ClickFix ha utilizzato il phishing per inviare un allegato HTML con falsi messaggi di errore. Gli utenti venivano convinti ad eseguire uno script PowerShell che risolveva i problemi. In realtà venivano installati vari infostealer. La variante di fine maggio sfruttava invece siti di phishing per distribuire i malware.
Più recentemente sono stati utilizzati siti fasulli che mostravano errori di Google Meet. In pratica, gli utenti ricevono via email inviti (apparentemente legittimi) per partecipare ad una riunione tramite web. Cliccando sul link viene aperta una pagina simile a quella del servizio che mostra inesistenti problemi con cuffie o microfono.
Se l’ignara vittima clicca sui pulsanti “Fix It” o “Try Fix” presenti nei pop-up, dal sito viene scaricato uno script PowerShell. La sua esecuzione automatica innesca il download dei malware, ovvero gli infostealer Stealc o Rhadamanthys per Windows e AMOS Stealer per macOS.
Simili tattiche sono state sfruttate per colpire gli utenti che usano altri popolari servizi, tra cui Zoom e Facebook. Oltre a quelli elencati vengono distribuiti altri noti malware, come DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, Vidar e Lumma Stealer.