Microsoft ha fatto luce su una campagna di phishing in corso che ha preso di mira il settore dell’ospitalità impersonando l’agenzia di viaggi on-line Reserving.com utilizzando una tecnica di ingegneria sociale sempre più popolare chiamata ClickFix per fornire malware a furto di credenziali.
L’attività, ha detto il colosso della tecnologia, è iniziata nel dicembre 2024 e opera con l’obiettivo finale di condurre frodi e furti finanziari. Sta monitorando la campagna sotto il moniker Storm-1865.
“Questo attacco di phishing prende di mira specificamente le persone nelle organizzazioni di ospitalità in Nord America, Oceania, Sud -est asiatico e Northern, Southern, Japanese e Western Europe, che hanno maggiori probabilità di lavorare con Reserving.com, inviando e -mail false che pretendono di venire dall’agenzia”, Microsoft disse In un rapporto condiviso con le notizie di Hacker.
La tecnica ClickFix è diventata esteso Negli ultimi mesi, poiché induce gli utenti all’esecuzione di malware con il pretesto di correggere un presunto errore (cioè inesistente) copiando, incollando e lanciando istruzioni ingannevoli che attivano il processo di infezione. Fu rilevato per la prima volta in natura nell’ottobre 2023.
La sequenza di attacchi inizia con Storm-1865 che invia un’e-mail dannosa a una persona mirata su una recensione negativa lasciata da un presunto ospite su Reserving.com e chiede loro il loro “suggestions”. Il messaggio incorpora anche un collegamento o un allegato PDF contenente uno che apparentemente dirige i destinatari al sito di prenotazione.
Tuttavia, in realtà, fare clic su di esso conduce la vittima a una falsa pagina di verifica CAPTCHA che è sovrapposta su un “background sottilmente visibile progettato per imitare una pagina Reserving.com legittima”. In tal modo, l’thought è di dare un falso senso di sicurezza e aumentare la probabilità di un compromesso di successo.
“Il falso captcha è dove la pagina internet utilizza la tecnica di ingegneria sociale ClickFix per scaricare il payload dannoso”, ha detto Microsoft. “Questa tecnica indica all’utente di utilizzare una scorciatoia da tastiera per aprire una finestra Home windows Run, quindi incollare e avviare un comando che la pagina Internet aggiunge agli appunti.”
Il comando, in poche parole, utilizza il legittimo binario Mshta.exe per far cadere il payload in stadio successivo, che comprende varie famiglie di malware di materie prime come Xworm, Lumma Stealer, Venomrat, Asyncrat, Danabot e Netsupport Rat.
Redmond ha affermato che in precedenza ha osservato Storm-1865 che si rivolge agli acquirenti utilizzando piattaforme di e-commerce con messaggi di phishing che portano a pagine Internet di pagamento fraudolente. L’incorporazione della tecnica ClickFix, quindi, illustra un’evoluzione tattica progettata per superare le misure di sicurezza convenzionali contro phishing e malware.
“L’attore della minaccia che Microsoft traccia come Storm-1865 incapsula un cluster di attività che conducono campagne di phishing, portando al furto di dati di pagamento e advert accuse fraudolente”, ha aggiunto.
“Queste campagne sono in corso con un aumento del quantity dall’inizio del 2023 e coinvolgono messaggi inviati tramite piattaforme di fornitori, come agenzie di viaggio on-line e piattaforme di e-commerce e servizi di posta elettronica, come Gmail o ICloud Mail.”
Storm-1865 rappresenta solo una delle tante campagne che hanno abbracciato ClickFix come vettore per la distribuzione di malware. Story è l’efficacia di questa tecnica che persino gruppi di stato-nazione russo e iraniano come Apt28 E Muddywater lo ha adottato per attirare le loro vittime.
“In particolare, il metodo capitalizza il comportamento umano: presentando una” soluzione “plausibile a un problema percepito, gli aggressori spostano l’onere dell’esecuzione sull’utente, eliminando effettivamente molte difese automatizzate” disse In un rapporto indipendente pubblicato oggi.
Una di queste campagne documentata dalla società di sicurezza informatica di Singapore prevede l’utilizzo di ClickFix per far cadere un downloader di nome Smokesaber, che quindi funge da condotto per Lumma Stealer. Altre campagne hanno sfruttato il malvertizzazione, l’avvelenamento search engine optimisation, i problemi di GitHub e i discussion board di spamming o siti di social media con collegamenti alle pagine ClickFix.
“La tecnica ClickFix segna un’evoluzione nelle strategie di ingegneria sociale contraddittoria, sfruttando la fiducia dell’utente e la funzionalità del browser per la distribuzione di malware”, ha affermato Group-IB. “La rapida adozione di questo metodo da parte dei criminali informatici e dei gruppi APT sottolinea la sua efficacia e la bassa barriera tecnica.”
Alcune delle altre campagne ClickFix che sono state documentate sono elencate di seguito –
I diversi meccanismi di infezione di Lumma Stealer sono ulteriormente esemplificati dalla scoperta di un’altra campagna che utilizza i repository di GitHub fasulli con l’intelligenza artificiale (AI)-Content material per consegnare il furto tramite un caricatore chiamato SmartLoader.
“Questi repository dannosi sono mascherati da strumenti non malvagi, tra cui trucchi di gioco, software program rotto e utility di criptovaluta”, Pattern Micro disse In un’analisi pubblicata all’inizio di questa settimana. “La campagna attira le vittime con promesse di funzionalità non autorizzate gratuite o illecite, spingendole a scaricare i file Zip (EG, Launch.zip, Software program.zip).”
L’operazione serve a evidenziare come gli attori delle minacce stanno abusando della fiducia associata a piattaforme popolari come GitHub per la propagazione del malware.
I risultati arrivano mentre TrustWave ha dettagliato una campagna di phishing e-mail che utilizza esche legate alla fattura per distribuire una versione aggiornata di un altro malware di furto chiamato Strelastealerche viene valutato per essere gestito da un unico attore di minaccia soprannominata Hive0145.
“I campioni di Strelastealers includono offuscamento multi-strato personalizzato e appiattimento del flusso di codice per complicare la sua analisi”, l’azienda disse. “È stato riferito che l’attore delle minacce ha potenzialmente sviluppato un cypter specializzato chiamato” caricatore stellare “, in particolare, da usare con lo Strelastealer.”