LeakNet è un’operazione ransomware che sta cambiando approccio per ottenere l’accesso iniziale alle reti delle vittime, puntando su una tecnica di social engineering chiamata ClickFix. Invece di affidarsi soprattutto a credenziali rubate e rivendute da intermediari, gli attaccanti sfruttano siti web legittimi ma compromessi per consegnare istruzioni ingannevoli. La logica è semplice e pericolosa: l’utente vede un finto controllo CAPTCHA o un messaggio di errore e viene guidato a risolvere il problema copiando e incollando un comando nel box Esegui di Windows. Il comando spesso richiama msiexec.exe, uno strumento reale del sistema operativo, rendendo la procedura più credibile e riducendo i sospetti.
Questa strategia offre vantaggi operativi a chi attacca. Usare ClickFix significa ridurre la dipendenza da terze parti, abbassare i costi per colpire ogni singola vittima e soprattutto aumentare la scalabilità della campagna. Inoltre, il traffico iniziale nasce da siti compromessi e non da infrastrutture chiaramente riconducibili agli aggressori, con meno segnali evidenti a livello di rete.
Un secondo elemento chiave della catena di attacco è l’uso di un loader basato su Deno, il runtime JavaScript. In questo schema, codice JavaScript codificato in Base64 viene eseguito direttamente in memoria, limitando le tracce su disco e aiutando a eludere i controlli. Il loader è progettato per identificare il sistema compromesso, contattare un server esterno e scaricare altri stadi di malware, entrando poi in un ciclo di polling che recupera ed esegue nuovo codice in modo ripetuto. Questo modello a stadi rende più flessibile l’operazione e permette di adattare i payload in base all’ambiente.
Sono stati osservati anche tentativi di intrusione che usano phishing tramite Microsoft Teams per convincere un utente ad avviare una catena simile, suggerendo un approccio bring your own runtime che potrebbe diffondersi tra più gruppi.
Dopo la compromissione, LeakNet segue una metodologia coerente: DLL side loading per avviare componenti malevoli, movimento laterale con PsExec, esfiltrazione dei dati e infine cifratura. Un dettaglio operativo rilevante è l’uso di cmd.exe /c klist per verificare le credenziali di autenticazione attive e accelerare le mosse successive. Per staging ed esfiltrazione vengono impiegati bucket S3, mascherando le attività dentro traffico cloud che può sembrare normale.