Redazione RHC : 16 Luglio 2025 07:47
Il gruppo di hacker ransomware Interlock sta distribuendo un trojan di accesso remoto (RAT) attraverso siti web compromessi. Gli hacker utilizzano attacchi FileFix per diffondere il malware. Gli attacchi ClickFix si basano sull’ingegneria sociale. Recentemente, diverse varianti di questi attacchi sono diventate comuni. In genere, le vittime vengono attirate su siti fraudolenti e indotte con l’inganno a copiare ed eseguire comandi PowerShell dannosi. In altre parole, infettano manualmente il proprio sistema con malware.
Gli aggressori spiegano la necessità di eseguire determinati comandi risolvendo problemi di visualizzazione del contenuto nel browser o chiedendo all’utente di risolvere un CAPTCHA falso. Sebbene gli attacchi ClickFix prendano di mira più spesso gli utenti Windows convinti a eseguire comandi PowerShell, i ricercatori di sicurezza hanno già segnalato campagne mirate anche agli utenti macOS e Linux.
Secondo ESET, l’uso di ClickFix come vettore di accesso iniziale è aumentato del 517% tra la seconda metà del 2024 e la prima metà del 2025. La tecnica FileFix , descritta di recente dall’esperto di sicurezza mr.d0x, è una variante dell’attacco ClickFix, ma utilizza l’interfaccia più familiare di Windows File Explorer anziché la riga di comando.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Pertanto, sulla pagina dannosa, l’utente viene informato che gli è stato concesso l’accesso generale a un determinato file. Per trovare questo file, il percorso dovrebbe essere copiato e incollato in Explorer. “La pagina di phishing potrebbe contenere un pulsante ‘Apri Esplora file’, che se cliccato avvierà Esplora file (utilizzando la funzionalità di caricamento file) e copierà il comando PowerShell negli appunti”, ha spiegato mr.d0x. Ciò significa che dopo aver inserito il percorso del file e premuto Invio, verrà eseguito il comando PowerShell dannoso.
Già all’inizio di maggio 2025, il DFIR Report e Proofpoint avevano segnalato che l’Interlock RAT veniva distribuito tramite KongTuke (o LandUpdate808), un sofisticato sistema di distribuzione del traffico (TDS) che distribuiva malware tramite un processo in più fasi che prevedeva l’uso di ClickFix e falsi CAPTCHA. Come ormai noto, all’inizio di giugno gli hacker sono passati a FileFix e hanno iniziato a distribuire la variante PHP di Interlock RAT. Gli specialisti del rapporto DFIR segnalano che in alcuni casi viene distribuita anche la variante Node.js del malware.
Una volta eseguito, il RAT raccoglie informazioni sul sistema utilizzando comandi PowerShell per raccogliere e trasmettere dati ai suoi operatori. Il malware verifica anche i privilegi dell’utente connesso. Il RAT si collega al sistema e attende l’esecuzione di ulteriori comandi. Allo stesso tempo, il rapporto degli esperti rileva che gli aggressori operano chiaramente manualmente con il malware, controllando i backup, navigando tra le directory locali e controllando i controller di dominio. I ricercatori osservano che in alcuni casi gli aggressori hanno utilizzato RDP per spostarsi lateralmente negli ambienti compromessi.
Il malware utilizza trycloudflare[.]com come server di comando e controllo, abusando del legittimo servizio Cloudflare Tunnel per nascondere la propria attività. Il rappresentante del DFIR ritiene che questa campagna sia opportunistica.
E’ stata rilevata una falla critica zero-day nei sistemi Citrix NetScaler, catalogata come CVE-2025-6543, che è stata oggetto di sfruttamento attivo da parte degli hacker criminali da maggio 2025, ...
Il Pentagono ha inviato una “lettera di preoccupazione” a Microsoft documentando una “violazione di fiducia” in merito all’utilizzo da parte dell’azienda di ingegneri cinesi per la manuten...
Google è pronta ad adottare una posizione più proattiva per proteggere se stessa e potenzialmente altre organizzazioni statunitensi dagli attacchi informatici, con l’azienda che suggerisce di pote...
Una falla di sicurezza nelle app di messaggistica di WhatsApp per Apple iOS e macOS è stata sanata, come riferito dalla stessa società, dopo essere stata probabilmente sfruttata su larga scala insie...
Un avviso di sicurezza di vasta portata è stato pubblicato da Google per i 2,5 miliardi di utenti del suo servizio Gmail, con l’obiettivo di rafforzare la protezione dei loro account a seguito di u...