Redazione RHC : 16 Luglio 2025 07:47
Il gruppo di hacker ransomware Interlock sta distribuendo un trojan di accesso remoto (RAT) attraverso siti web compromessi. Gli hacker utilizzano attacchi FileFix per diffondere il malware. Gli attacchi ClickFix si basano sull’ingegneria sociale. Recentemente, diverse varianti di questi attacchi sono diventate comuni. In genere, le vittime vengono attirate su siti fraudolenti e indotte con l’inganno a copiare ed eseguire comandi PowerShell dannosi. In altre parole, infettano manualmente il proprio sistema con malware.
Gli aggressori spiegano la necessità di eseguire determinati comandi risolvendo problemi di visualizzazione del contenuto nel browser o chiedendo all’utente di risolvere un CAPTCHA falso. Sebbene gli attacchi ClickFix prendano di mira più spesso gli utenti Windows convinti a eseguire comandi PowerShell, i ricercatori di sicurezza hanno già segnalato campagne mirate anche agli utenti macOS e Linux.
Secondo ESET, l’uso di ClickFix come vettore di accesso iniziale è aumentato del 517% tra la seconda metà del 2024 e la prima metà del 2025. La tecnica FileFix , descritta di recente dall’esperto di sicurezza mr.d0x, è una variante dell’attacco ClickFix, ma utilizza l’interfaccia più familiare di Windows File Explorer anziché la riga di comando.
 Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Pertanto, sulla pagina dannosa, l’utente viene informato che gli è stato concesso l’accesso generale a un determinato file. Per trovare questo file, il percorso dovrebbe essere copiato e incollato in Explorer. “La pagina di phishing potrebbe contenere un pulsante ‘Apri Esplora file’, che se cliccato avvierà Esplora file (utilizzando la funzionalità di caricamento file) e copierà il comando PowerShell negli appunti”, ha spiegato mr.d0x. Ciò significa che dopo aver inserito il percorso del file e premuto Invio, verrà eseguito il comando PowerShell dannoso.
Già all’inizio di maggio 2025, il DFIR Report e Proofpoint avevano segnalato che l’Interlock RAT veniva distribuito tramite KongTuke (o LandUpdate808), un sofisticato sistema di distribuzione del traffico (TDS) che distribuiva malware tramite un processo in più fasi che prevedeva l’uso di ClickFix e falsi CAPTCHA. Come ormai noto, all’inizio di giugno gli hacker sono passati a FileFix e hanno iniziato a distribuire la variante PHP di Interlock RAT. Gli specialisti del rapporto DFIR segnalano che in alcuni casi viene distribuita anche la variante Node.js del malware.
Una volta eseguito, il RAT raccoglie informazioni sul sistema utilizzando comandi PowerShell per raccogliere e trasmettere dati ai suoi operatori. Il malware verifica anche i privilegi dell’utente connesso. Il RAT si collega al sistema e attende l’esecuzione di ulteriori comandi. Allo stesso tempo, il rapporto degli esperti rileva che gli aggressori operano chiaramente manualmente con il malware, controllando i backup, navigando tra le directory locali e controllando i controller di dominio. I ricercatori osservano che in alcuni casi gli aggressori hanno utilizzato RDP per spostarsi lateralmente negli ambienti compromessi.
Il malware utilizza trycloudflare[.]com come server di comando e controllo, abusando del legittimo servizio Cloudflare Tunnel per nascondere la propria attività. Il rappresentante del DFIR ritiene che questa campagna sia opportunistica.
RedazioneNegli Stati Uniti, una vasta campagna coordinata tramite botnet sta prendendo di mira i servizi basati sul protocollo Remote Desktop Protocol (RDP). Un pericolo notevole è rappresentato dalla scala e...
Un’ondata di messaggi di phishing sta colpendo in questi giorni numerosi cittadini lombardi. Le email, apparentemente inviate da una società di recupero crediti, fanno riferimento a presunti mancat...
La scorsa settimana, Oracle ha avvisato i clienti di una vulnerabilità zero-day critica nella sua E-Business Suite (CVE-2025-61882), che consente l’esecuzione remota di codice arbitrario senza aute...
Dal 6 al 9 ottobre 2025, Varsavia è stata teatro della 11ª edizione della European Cybersecurity Challenge (ECSC). In un confronto serrato tra 39 team provenienti da Stati membri UE, Paesi EFTA, can...
Un nuovo annuncio pubblicato su un forum underground è stato rilevato poco fa dai ricercatori del laboratorio di intelligence sulle minacce di Dark Lab e mostra chiaramente quanto sia ancora attivo e...
