Gli hacker utilizzano ClickFix e FileFix per diffondere il trojan Interlock

Il gruppo di hacker ransomware Interlock sta distribuendo un trojan di accesso remoto (RAT) attraverso siti web compromessi. Gli hacker utilizzano attacchi FileFix per diffondere il malware. Gli attacchi ClickFix si basano sull’ingegneria sociale. Recentemente, diverse varianti di questi attacchi sono diventate comuni. In genere, le vittime vengono attirate su siti fraudolenti e indotte con l’inganno a copiare ed eseguire comandi PowerShell dannosi. In altre parole, infettano manualmente il proprio sistema con malware.

Gli aggressori spiegano la necessità di eseguire determinati comandi risolvendo problemi di visualizzazione del contenuto nel browser o chiedendo all’utente di risolvere un CAPTCHA falso. Sebbene gli attacchi ClickFix prendano di mira più spesso gli utenti Windows convinti a eseguire comandi PowerShell, i ricercatori di sicurezza hanno già segnalato campagne mirate anche agli utenti macOS e Linux.

Secondo ESET, l’uso di ClickFix come vettore di accesso iniziale è aumentato del 517% tra la seconda metà del 2024 e la prima metà del 2025. La tecnica FileFix , descritta di recente dall’esperto di sicurezza mr.d0x, è una variante dell’attacco ClickFix, ma utilizza l’interfaccia più familiare di Windows File Explorer anziché la riga di comando.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Pertanto, sulla pagina dannosa, l’utente viene informato che gli è stato concesso l’accesso generale a un determinato file. Per trovare questo file, il percorso dovrebbe essere copiato e incollato in Explorer. “La pagina di phishing potrebbe contenere un pulsante ‘Apri Esplora file’, che se cliccato avvierà Esplora file (utilizzando la funzionalità di caricamento file) e copierà il comando PowerShell negli appunti”, ha spiegato mr.d0x. Ciò significa che dopo aver inserito il percorso del file e premuto Invio, verrà eseguito il comando PowerShell dannoso.

Già all’inizio di maggio 2025, il DFIR Report e Proofpoint avevano segnalato che l’Interlock RAT veniva distribuito tramite KongTuke (o LandUpdate808), un sofisticato sistema di distribuzione del traffico (TDS) che distribuiva malware tramite un processo in più fasi che prevedeva l’uso di ClickFix e falsi CAPTCHA. Come ormai noto, all’inizio di giugno gli hacker sono passati a FileFix e hanno iniziato a distribuire la variante PHP di Interlock RAT. Gli specialisti del rapporto DFIR segnalano che in alcuni casi viene distribuita anche la variante Node.js del malware.

Una volta eseguito, il RAT raccoglie informazioni sul sistema utilizzando comandi PowerShell per raccogliere e trasmettere dati ai suoi operatori. Il malware verifica anche i privilegi dell’utente connesso. Il RAT si collega al sistema e attende l’esecuzione di ulteriori comandi. Allo stesso tempo, il rapporto degli esperti rileva che gli aggressori operano chiaramente manualmente con il malware, controllando i backup, navigando tra le directory locali e controllando i controller di dominio. I ricercatori osservano che in alcuni casi gli aggressori hanno utilizzato RDP per spostarsi lateralmente negli ambienti compromessi.

Il malware utilizza trycloudflare[.]com come server di comando e controllo, abusando del legittimo servizio Cloudflare Tunnel per nascondere la propria attività. Il rappresentante del DFIR ritiene che questa campagna sia opportunistica.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.