Un’altra campagna, registrato Di Sekoia, mirato agli utenti Windows. Gli aggressori dietro questo primo attacco compromettono l’account di un hotel per Booking.com o un altro servizio di viaggi online. Utilizzando le informazioni archiviate negli account compromessi, gli aggressori contattano le persone con prenotazioni in sospeso, una capacità che crea fiducia immediata con molti obiettivi, che sono disposti a rispettare le istruzioni, per timore che le loro posizioni vengano revocate.
Il sito alla fine presenta una falsa notifica CAPTCHA che ha quasi lo stesso aspetto richiesto dalla rete di distribuzione dei contenuti CloudFlare. Tutte le prove necessarie all’avviso per confermare che dietro la tastiera c’è un essere umano che sta copiando una stringa di testo e incollandola in un terminale Windows. Oltre a ciò, la macchina è infettata da un malware identificato come PureRAT.
Nel frattempo, aumentate la sicurezza, Rapporto Una campagna ClickFix con una pagina “si adatta al dispositivo da cui stai visitando”. A seconda del sistema operativo, la pagina fornirà il payload Windows o macOS. Molti di questi payload, Microsoft disseè LOLbins, il nome dei binari che utilizzano una tecnica nota come vivere dei frutti della terra. Questi script si basano solo sulle funzionalità native integrate nel sistema operativo. Poiché sul disco non vengono scritti file dannosi, la protezione degli endpoint risulta ulteriormente ostacolata.
I comandi, che sono spesso codificati in base 64 in modo da essere illeggibili dagli esseri umani, vengono spesso copiati all’interno della sandbox del browser, una parte della maggior parte dei browser che accedono a Internet in un ambiente isolato progettato per proteggere i dispositivi da malware o script dannosi. Molti strumenti di sicurezza non sono in grado di monitorare e contrassegnare queste azioni come potenzialmente dannose
Gli attacchi possono essere efficaci anche a causa della mancanza di consapevolezza. Nel corso degli anni molte persone hanno imparato a diffidare dei collegamenti presenti nelle e-mail o in Messenger. Nella mente di molti utenti, l’avvertimento non si estende ai siti che chiedono loro di copiare un pezzo di testo e incollarlo in una finestra sconosciuta. Quando le indicazioni stradali arrivano via email da un hotel familiare o nella parte superiore dei risultati di Google, gli obiettivi possono essere più lontani.
Con molte famiglie che si riuniscono per varie cene festive la prossima settimana, vale la pena menzionare le truffe ClickFix per i familiari che cercano consigli sulla sicurezza. Microsoft Defender e altri programmi di protezione degli endpoint forniscono alcune difese contro questi attacchi, ma in alcuni casi possono essere aggirati. Ciò significa che, per ora, la consapevolezza è la migliore contromisura.
