Negli ultimi mesi, un’ondata di attacchi informatici ha preso di mira gli utenti di Google Meet, sfruttando falsi errori tecnici per distribuire malware su computer Windows e macOS. Questa campagna di phishing è nota come ClickFix e rappresenta una minaccia crescente per gli utenti che utilizzano piattaforme di videoconferenza.
Il fenomeno della campagna malware ClickFix
La campagna ClickFix ha fatto il suo debutto nel mese di marzo 2024, e da allora ha subito diverse evoluzioni. Inizialmente, gli attacchi erano focalizzati su utenti di piattaforme come Facebook, ma più recentemente il bersaglio principale è diventato Google Meet. Il metodo di attacco prevede l’invio di email phishing contenenti falsi inviti a riunioni o messaggi di errore legati al servizio di videoconferenza. L’obiettivo è convincere le vittime a cliccare su link malevoli che innescano il download di infostealer, malware progettati per rubare informazioni sensibili dai dispositivi infettati.
Come funziona l’attacco
Il modus operandi della campagna ClickFix è basato su tattiche di ingegneria sociale. Gli attaccanti inviano email apparentemente legittime, invitando gli utenti a partecipare a una riunione Google Meet. Una volta che l’utente clicca sul link per accedere alla riunione, viene reindirizzato a una pagina che simula l’interfaccia di Google Meet. Qui, il sito fraudolento mostra un messaggio di errore, come “Problema con il microfono” o “Errore nelle cuffie”.
| Tattica | Descrizione |
|---|---|
| Email phishing | Invito a partecipare a una riunione Google Meet |
| Falso messaggio di errore | Mostra problemi inesistenti con il microfono o cuffie |
| Script PowerShell | Cliccando su “Fix It” o “Try Fix”, si scarica uno script |
| Malware | Viene eseguito uno script che installa malware infostealer |
Cliccando sui pulsanti “Fix It” o “Try Fix” presenti nella pagina di errore, l’utente innesca il download di uno script PowerShell. Questo script è programmato per scaricare e installare diversi tipi di malware sul dispositivo della vittima, inclusi infostealer come Stealc e Rhadamanthys per Windows, e AMOS Stealer per macOS.
Il ruolo degli infostealer
Gli infostealer sono una tipologia di malware progettata per raccogliere informazioni sensibili dai dispositivi infetti. Questi dati includono:
- Credenziali di accesso: Username e password memorizzati nei browser.
- Dati bancari: Informazioni relative a conti correnti e carte di credito.
- Dati personali: Informazioni come numeri di telefono, indirizzi email, e altre informazioni private.
- Cronologia di navigazione: I siti web visitati dall’utente.
Una volta raccolte queste informazioni, i dati vengono inviati a server remoti controllati dagli attaccanti, permettendo loro di accedere ai conti bancari, rubare identità, o vendere le credenziali sul dark web.
I malware coinvolti: Stealc, Rhadamanthys e AMOS Stealer
Nella campagna ClickFix sono coinvolti diversi infostealer di grande diffusione, che variano a seconda del sistema operativo utilizzato:
- Stealc: Un malware noto per la sua capacità di rubare informazioni da browser, portafogli di criptovalute, e altre applicazioni. Colpisce principalmente gli utenti Windows.
- Rhadamanthys: Un altro infostealer che si concentra sulla raccolta di credenziali e dati finanziari.
- AMOS Stealer: Progettato per colpire gli utenti macOS, questo malware ruba informazioni personali e credenziali salvate nel sistema.
| Malware | Piattaforma | Caratteristiche |
|---|---|---|
| Stealc | Windows | Ruba credenziali, dati di criptovalute, e cronologia di navigazione |
| Rhadamanthys | Windows | Ruba informazioni bancarie e credenziali di accesso |
| AMOS Stealer | macOS | Mirato a rubare dati personali e credenziali memorizzati su macOS |
Altri malware distribuiti
Oltre agli infostealer, la campagna ClickFix ha distribuito anche altri malware noti, tra cui:
- DarkGate: Un trojan che permette agli attaccanti di prendere il controllo remoto del dispositivo.
- NetSupport: Un software di controllo remoto che viene utilizzato per eseguire operazioni malevole.
- Matanbuchus: Un loader che viene utilizzato per caricare e distribuire altri malware.
- Vidar e Lumma Stealer: Due altri infostealer noti per la loro capacità di rubare credenziali e informazioni sensibili.
Proteggersi da queste minacce
Per proteggersi dagli attacchi di phishing come quelli legati alla campagna ClickFix, è importante seguire alcune semplici linee guida:
- Verifica le email sospette: Non cliccare su link ricevuti via email senza prima verificare la loro autenticità. Le email di phishing spesso contengono piccoli errori che possono rivelare la loro natura fraudolenta.
- Usa software antivirus: Un buon software antivirus può rilevare e bloccare tentativi di phishing e malware prima che possano causare danni.
- Aggiorna regolarmente il sistema operativo: Le vulnerabilità sfruttate dai malware vengono spesso corrette con gli aggiornamenti di sicurezza. Mantenere il sistema operativo aggiornato è una delle migliori difese contro le minacce informatiche.
- Non eseguire script sconosciuti: Evita di eseguire script o programmi che non conosci, soprattutto se provengono da fonti non verificate.
L’ingegneria sociale e il phishing
L’ingegneria sociale è una delle armi più potenti nelle mani degli hacker. La campagna ClickFix sfrutta la fiducia degli utenti in servizi popolari come Google Meet per far credere che stiano risolvendo un problema tecnico, quando in realtà stanno installando malware sui loro dispositivi. L’uso di messaggi di errore falsi è una tattica comune in questi attacchi.
L’evoluzione della campagna ClickFix
Dalla sua scoperta nel marzo 2024, la campagna ClickFix ha continuato ad evolversi, espandendo il suo raggio d’azione e includendo nuovi obiettivi e malware. Inizialmente, il phishing era focalizzato su Facebook, ma ora i servizi di videoconferenza come Google Meet sono diventati uno dei principali bersagli. Questo indica una chiara tendenza degli attaccanti a sfruttare i servizi online più popolari per diffondere malware su larga scala.
Il ruolo di Google nella prevenzione del phishing
Google ha implementato diverse misure di sicurezza per proteggere i suoi utenti da attacchi di phishing e malware. Tra queste misure, vi sono:
- Filtri antispam: Le email contenenti link o allegati sospetti vengono filtrate e spesso classificate come spam.
- Verifica in due passaggi: L’autenticazione a due fattori rende più difficile per gli hacker accedere agli account degli utenti anche se ottengono le loro credenziali.
- Avvisi di sicurezza: Google invia avvisi di sicurezza agli utenti quando rileva attività sospette sui loro account.
La campagna ClickFix rappresenta una minaccia crescente per gli utenti di Google Meet e altre piattaforme di videoconferenza. Gli attaccanti sfruttano falsi errori tecnici per ingannare le vittime e far loro installare infostealer e altri malware sui loro dispositivi. È fondamentale che gli utenti siano consapevoli di queste minacce e adottino misure di protezione adeguate per evitare di cadere vittime di questi attacchi. La sicurezza informatica è diventata una priorità nel mondo digitale odierno, e conoscere le tattiche degli hacker è il primo passo per proteggere i propri dati.
