Logo Tom's Hardware

Google Meet: falsi inviti nascondono un virus, ecco come riconoscerli

Nuova campagna ClickFix usa pagine Google Meet false per diffondere malware rubadati su Windows e macOS tramite finti errori di connessione.

Avatar di Giulia Serena

a cura di Giulia Serena

Editor

Un nuovo attacco di phishing denominato ClickFix sta diffondendo malware attraverso false pagine di Google Meet. La campagna, scoperta dalla società di cybersicurezza Sekoia, inganna gli utenti mostrando finti errori di connessione e inducendoli a eseguire codice malevolo.

L'attacco sfrutta la popolarità di Google Meet negli ambienti aziendali per attirare le vittime su pagine contraffatte. Gli hacker inviano email che sembrano inviti legittimi a riunioni o eventi importanti, con URL molto simili a quelli autentici di Google Meet.

Una volta sulla pagina fasulla, agli utenti viene mostrato un messaggio di errore tecnico, ad esempio un problema al microfono. Cliccando su "Prova a risolvere", viene avviato il processo di infezione ClickFix: un codice PowerShell copiato dal sito e incollato nel prompt di Windows installa malware sul computer della vittima.

Hacker
Hacker

Il payload finale è costituito da software infostealer come Stealc o Rhadamanthys su Windows e AMOS Stealer su macOS.

Secondo Sekoia, dietro queste campagne ci sarebbero due gruppi di hacker, il Slavic Nation Empire (SNE) e Scamquerteo, considerati sotto-team delle gang di criptovalute Marko Polo e CryptoLove.

L'evoluzione di ClickFix

ClickFix è una tattica di ingegneria sociale emersa a maggio, inizialmente segnalata da Proofpoint. All'epoca impersonava errori di Google Chrome, Microsoft Word e OneDrive per indurre le vittime a eseguire codice malevolo.

A luglio, McAfee ha riportato un aumento della frequenza delle campagne ClickFix, specialmente negli Stati Uniti e in Giappone. Ora la tecnica si è evoluta, sfruttando anche esche come email di phishing verso aziende di trasporti e logistica, false pagine Facebook e segnalazioni ingannevoli su GitHub.

Oltre a Google Meet, Sekoia ha identificato altri vettori di distribuzione del malware, tra cui:

  • Zoom
  • Lettori PDF
  • Falsi videogiochi (Lunacy, Calipso, Battleforge, Ragon)
  • Browser e progetti web3 (NGT Studio)
  • App di messaggistica (Nortex)

L'evoluzione e la diversificazione delle tattiche ClickFix evidenziano la crescente sofisticazione delle campagne di phishing, che sfruttano la familiarità degli utenti con servizi e applicazioni popolari per diffondere malware in modo sempre più efficace.

Fonte dell'articolo: www.bleepingcomputer.com

Leggi altri articoli