Iscriviti al webinar gratuito per CISO del 18 Giugno: "Dove si rompono gli LLM: la OWASP Top 10 spiegata per chi deve governare il rischio AI." Scopri di più
ClickFix Dilaga: falsi aggiornamenti spingono PowerShell e nuovi loader rubacredenziali su Windows e macOS
Le campagne ClickFix stanno ampliando in modo significativo le tecniche di distribuzione malware grazie a nuovi loader e a esche basate su falsi aggiornamenti. Il punto di partenza è quasi sempre lo stesso: una pagina o un contenuto compromesso che spinge la vittima a eseguire comandi PowerShell forniti dagli attaccanti, spesso presentati come passaggi di risoluzione problemi o verifiche di sicurezza.
Questo approccio sfrutta la fiducia dell’utente e riduce la necessità di exploit complessi, rendendo la social engineering estremamente efficace su Windows e, in alcuni casi, anche su macOS.
Tra i loader osservati spicca BabaDeda Loader, impiegato per colpire organizzazioni in ambito education e finance. La catena di infezione utilizza tecniche di evasione come PowerShell nascosto, shellcode in memoria, DLL side loading e archiviazione esterna del payload. Il loader esegue un profilo della macchina, evita l’esecuzione su sistemi con impostazioni riconducibili a Russia o Bielorussia, controlla la presenza di prodotti di sicurezza e poi inietta il payload in processi Windows fidati come svchost.exe. I payload includono backdoor e information stealer in grado di raccogliere informazioni di sistema, enumerare profili browser, estrarre cookie, cronologia, credenziali e chiavi di cifratura, selezionare file in base a regole, esfiltrare contenuti e comunicare con un server di comando e controllo tramite canali cifrati.
Un’altra catena distribuisce archivi ZIP che sfruttano DLL side loading per avviare malware come DanaBot e SectopRAT, con un componente a stadi che legge il materiale malevolo da file contenitore apparentemente innocui. Questa modularità separa consegna, archiviazione, esecuzione e deploy, complicando analisi forense e rilevamento automatico.
ClickFix viene inoltre usato per consegnare Lorem Ipsum Loader tramite siti WordPress compromessi in diversi settori. Qui la trappola simula un aggiornamento di sicurezza del browser e scarica un ZIP insieme a una versione datata di Node.js per eseguire payload JavaScript e avviare persistenza con ulteriori catene di side loading. In parallelo è stato osservato Potemkin, un loader x64 che usa un algoritmo di generazione domini per trovare il C2 e caricare moduli in memoria, abilitando strumenti di accesso remoto e furto credenziali.