Un nuovo attacco di phishing denominato ClickFix sta diffondendo malware attraverso false pagine di Google Meet. La campagna, scoperta dalla società di cybersicurezza Sekoia, inganna gli utenti mostrando finti errori di connessione e inducendoli a eseguire codice malevolo.
L'attacco sfrutta la popolarità di Google Meet negli ambienti aziendali per attirare le vittime su pagine contraffatte. Gli hacker inviano email che sembrano inviti legittimi a riunioni o eventi importanti, con URL molto simili a quelli autentici di Google Meet.
Una volta sulla pagina fasulla, agli utenti viene mostrato un messaggio di errore tecnico, ad esempio un problema al microfono. Cliccando su "Prova a risolvere", viene avviato il processo di infezione ClickFix: un codice PowerShell copiato dal sito e incollato nel prompt di Windows installa malware sul computer della vittima.
Secondo Sekoia, dietro queste campagne ci sarebbero due gruppi di hacker, il Slavic Nation Empire (SNE) e Scamquerteo, considerati sotto-team delle gang di criptovalute Marko Polo e CryptoLove.
L'evoluzione di ClickFix
ClickFix è una tattica di ingegneria sociale emersa a maggio, inizialmente segnalata da Proofpoint. All'epoca impersonava errori di Google Chrome, Microsoft Word e OneDrive per indurre le vittime a eseguire codice malevolo.
A luglio, McAfee ha riportato un aumento della frequenza delle campagne ClickFix, specialmente negli Stati Uniti e in Giappone. Ora la tecnica si è evoluta, sfruttando anche esche come email di phishing verso aziende di trasporti e logistica, false pagine Facebook e segnalazioni ingannevoli su GitHub.
Oltre a Google Meet, Sekoia ha identificato altri vettori di distribuzione del malware, tra cui:
- Zoom
- Lettori PDF
- Falsi videogiochi (Lunacy, Calipso, Battleforge, Ragon)
- Browser e progetti web3 (NGT Studio)
- App di messaggistica (Nortex)
L'evoluzione e la diversificazione delle tattiche ClickFix evidenziano la crescente sofisticazione delle campagne di phishing, che sfruttano la familiarità degli utenti con servizi e applicazioni popolari per diffondere malware in modo sempre più efficace.