Attacco ClickFix a tema GLS per installare Remcos

Gli esperti del CERT-AgID (Computer Emergency Response Team dell’Agenzia per l’Italia Digitale) hanno individuato una nuova campagna malware che sfrutta la nota tecnica ClickFix per convincere gli utenti ad eseguire comandi sul computer. Stavolta l’esca è rappresentata da un’email che sembra provenire dal corriere GLS.

Remcos distribuito tramite ClickFix

ClickFix è una popolare tecnica di ingegneria sociale che sfrutta vari tipi di trucchi per ingannare l’utente. Il più utilizzato è quello che prevede la visualizzazione di un problema software, quando viene aperto un sito nel browser. L’ignara vittima deve seguire specifiche istruzioni usando il prompt dei comandi, PowerShell o Esplora file (variante FileFix).

La campagna scoperta dal CERT-AgID prevede l’invio di un’email dal presunto team di supporto di GLS. L’utente viene invitato a compilare un modulo allegato per indicare una nuova data di consegna del pacco. Nel file XHTML allegato è nascosto il codice JavaScript che porta su un sito fasullo simile a quello di GLS.

Cliccando sul pulsante “Programma una nuova consegna” viene aperto il pop-up di un falso CAPTCHA. Per dimostrare di non essere un robot l’utente deve aprire la finestra Esegui (Win + R), premere la combinazione di tasti Ctrl + V e quindi Invio. Tramite Ctrl + V viene copiato un comando mshta che scarica un file HTA.

Se l’ignara vittima apre il file installa Remcos, un noto RAT (Remote Access Trojan) che permette ai cybercriminali di accedere al computer da remoto, rubare dati e installare altri malware.

La tecnica ClickFix consente di aggirare la rilevazione delle soluzioni di sicurezza perché il malware non viene scaricato o eseguito direttamente, ma solo quando l’utente incolla il comando. Tra l’altro, i file HTA vengono eseguiti con privilegi elevati, quindi le conseguenze sono più gravi.