Sintesi

Proseguono le campagne di phishing che utilizzano l’ingegneria sociale per esortare le potenziali vittime ad eseguire codice malevolo all’interno del proprio sistema operativo tramite la funzione “incolla”.

Descrizione e potenziali impatti

Il vettore di attacco iniziale consiste nella compromissione preliminare di portali web attestati sul territorio nazionale; gli attori malevoli sfruttano vulnerabilità note presenti nei sistemi, oppure ottengono accesso compromettendo interfacce di amministrazione impropriamente esposte su Internet e protette da meccanismi di autenticazione insufficienti e/o da credenziali deboli.

In caso di accesso a una risorsa compromessa, la tecnica – denominata ClickFix -prevede la sottomissione di una schermata di verifica fraudolenta prima della landing page legittima attesa dall’utente. Tale schermata, realizzata per replicare il layout tipico dei tradizionali controlli anti-bot (Figura 1) o delle notifiche di errore del browser, mira a persuadere la vittima a eseguire una sequenza di operazioni manuali sul proprio sistema operativo (Figura 2).

Il processo di compromissione si sviluppa attraverso una sequenza strutturata di interazioni progettate per trasformare l’utente nel vettore esecutivo dell’attacco.

In una prima fase, la vittima viene indotta ad aprire una finestra Powershell mediante la combinazione di tasti Windows + X e selezionando I o Terminale nell’elenco.

Successivamente, l’interfaccia malevola guida l’utente all’utilizzo della combinazione CTRL + V all’interno della finestra aperta. Tale azione comporta l’inserimento di una stringa precedentemente copiata negli appunti di sistema, contenente istruzioni finalizzate all’avvio della fase esecutiva dell’attacco. La successiva pressione del tasto Invio determina l’esecuzione immediata del comando.

Questo meccanismo consente agli attaccanti di avviare la catena di infezione riducendo la necessità di sfruttare vulnerabilità software e demandando l’esecuzione delle operazioni critiche all’utente stesso. Il comando eseguito provvede tipicamente al recupero e all’esecuzione di payload remoti, favorendo tecniche di evasione basate sul caricamento del codice malevolo direttamente in memoria ( fileless execution ) e consentendo l’instaurazione di comunicazioni con le infrastrutture di Command and Control (C2) utilizzate per il controllo e la gestione del sistema compromesso.

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi attivando le seguenti misure preventive:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing, diffidando in particolare dalle comunicazioni non attese che invitano ad aprire allegati e/o link sospetti;
• non accedere a collegamenti internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa;
• evitare di prelevare ed eseguire file (lnk, exe, bat, js, vbs, ecc.), pdf o documenti contenenti macro se non si è certi della loro liceità;
• evitare di eseguire codice di dubbia provenienza;
• assicurare l’applicazione tempestiva di tutte le patch di sicurezza non appena vengono rilasciate.

Azioni di risposta agli incidenti

Qualora si riscontrino evidenze di avvenuta compromissione sui propri sistemi, si raccomanda agli utenti e alle organizzazioni di attuare le seguenti azioni:

• collezionare eventuali evidenze, quali processi/servizi in esecuzione su dispositivi target, log di rete e log di autenticazione considerati non convenzionali;
• porre in isolamento e/o offline gli host potenzialmente interessati dalla compromissione;
• ripristinare gli host compromessi ad un’immagine precedente consistente (dopo aver espletato le necessarie attività forensi);
• resettare gli account degli utenti interessati dalla compromissione;
• segnalare tempestivamente a questo CSIRT, tramite il portale https://segnalazioni.acn.gov.it/ l’evento occorso.