Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 14 Maggio 2025 17:09
I ricercatori hanno individuato una nuova campagna malware che sfrutta gli attacchi ClickFix. Ora gli aggressori prendono di mira anche gli utenti Linux.
Gli attacchi ClickFix sono una forma di ingegneria sociale. Di recente si sono diffuse diverse varianti di tali attacchi. In genere, le vittime vengono attirate su siti truffaldini e indotte con l’inganno a eseguire comandi PowerShell dannosi, infettando di fatto manualmente il loro sistema con un malware. Ad esempio, gli aggressori giustificano la necessità di eseguire determinati comandi risolvendo problemi di visualizzazione del contenuto nel browser oppure chiedendo all’utente di risolvere un CAPTCHA falso.
In genere, tali attacchi prendono di mira i sistemi Windows e inducono la vittima a eseguire uno script di PowerShell, che provoca l’infezione da malware. Tuttavia, in una nuova campagna individuata dai ricercatori di Hunt.io, gli aggressori hanno adattato per la prima volta questa tecnica ai sistemi Linux.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
La campagna, che gli esperti attribuiscono al gruppo di hacker pakistano APT36 (noto anche come Transparent Tribe), utilizza un falso sito web del Ministero della Difesa indiano contenente un collegamento a un presunto comunicato stampa ufficiale. Quando i visitatori arrivano su questo sito, la piattaforma rileva il loro sistema operativo e lancia un attacco appropriato.
In questo modo, agli utenti Windows viene mostrata una pagina a schermo intero con un avviso sui diritti limitati per l’utilizzo del contenuto. Facendo clic sul pulsante Continua viene avviato JavaScript che copia il comando dannoso MSHTA negli appunti della vittima, invitandola a incollarlo ed eseguirlo in un terminale Windows.
Questo avvia un loader basato su .NET che si connette all’indirizzo dell’attaccante e l’utente visualizza un file PDF che dovrebbe indurlo in un falso senso di sicurezza e far sembrare la situazione più plausibile.
Se il visitatore utilizza Linux, viene reindirizzato a una pagina con un CAPTCHA falso, dove, premendo il pulsante “Non sono un robot“, un comando shell viene copiato negli appunti. Alla vittima viene quindi chiesto di premere ALT+F2, incollare il comando e premere Invio per eseguirlo.
Il comando avvia il payload mapeal.sh sul sistema dell’utente, il quale, secondo i ricercatori, non esegue ancora alcuna azione dannosa, limitandosi a ricevere in background un’immagine JPEG dal server degli aggressori (trade4wealth[.]in).
Gli esperti ritengono che i membri di APT36 stiano attualmente semplicemente testando l’efficacia di tali attacchi su Linux, poiché è sufficiente sostituire l’immagine con uno script shell per installare il malware ed eseguire altre azioni dannose.
L’adattamento di ClickFix a Linux è un’ulteriore prova dell’efficacia di tali attacchi. Le varianti di ClickFix sono ora disponibili per tutti e tre i principali sistemi operativi desktop. La versione di ClickFix per macOS è stata individuata già nell’ottobre dell’anno scorso.
Redazione14 maggio 2025 – Nelle prime ore di questa mattina, sul forum underground russo XSS, noto per essere una vetrina di primo piano per la compravendita di dati compromessi, è apparso un post ...
Diversi bug di sicurezza sono stati pubblicati recentemente sui prodotti Fortinet, i quali consentono agli aggressori di aggirare l’autenticazione e ottenere l’accesso amministrativo ai ...
Sabato 9 maggio, al Teatro Italia di Roma, si è chiusa la Red Hot Cyber Conference 2025, l’appuntamento annuale gratuito creato dalla community di RHC dedicato alla sicurezza informatica, ...
La banda di criminali informatici di NOVA rivendica all’interno del proprio Data Leak Site (DLS) un attacco informatico al Comune di Pisa. Disclaimer: Questo rapporto include screenshot e/o tes...
Un grave attacco informatico ha colpito l’infrastruttura digitale dell’Università nella notte tra l’8 e il 9 maggio, causando l’interruzione improvvisa dei servizi onl...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
