Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca
Red Hot Cyber Academy

Il Malware ClickFix si evolve: Zoom e Google Meet si trasformano in strumenti di attacco

Redazione RHC : 18 Ottobre 2024 15:49

Nelle nuove campagne ClickFix, i truffatori attirano gli utenti su false pagine di Google Meet dove vengono mostrati falsi errori di connessione per diffondere malware che possono infettare i sistemi Windows e macOS.

ClickFix risale a maggio, quando Proofpoint ne ha segnalato per la prima volta l’utilizzo da parte del gruppo TA571. Gli attacchi hanno utilizzato falsi messaggi di errore in Google Chrome, Microsoft Word e OneDrive. Alle vittime è stato chiesto di incollare il codice nella riga di comando di PowerShell per risolvere il presunto problema, che ha portato all’infezione dei loro dispositivi.

Malware come DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, Lumma Stealer e altri sono stati distribuiti attraverso questo metodo. Nel mese di luglio, McAfee ha riscontrato un aumento nella frequenza di questi attacchi, soprattutto negli Stati Uniti e in Giappone.

Dai potere alla tua programmazione con TypeScript funzionale

Impara a scrivere codice modulare, sicuro e scalabile con il nostro corso pratico di Programmazione Funzionale in TypeScript, guidato dall’esperto Pietro Grandi, professionista nello sviluppo del software. 
In 6 ore e 29 lezioni, esplorerai concetti fondamentali come immutabilità, funzioni pure, higher-order functions e monadi, applicandoli direttamente al mondo reale dello sviluppo software.
Il corso è pensato per sviluppatori, team leader e professionisti del software che desiderano migliorare la qualità e la manutenibilità del loro codice. Con esempi pratici, esercizi e la guida esperta di Grandi, acquisirai competenze avanzate per affrontare le sfide moderne dello sviluppo.
Approfitta della promo e scrivi subito all'amministrazione e guarda l'anteprima gratuita del corso su academy.redhotcyber.com
Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]



Supporta RHC attraverso:
  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
 

Secondo un nuovo rapporto di Sekoia, le tattiche di ClickFix sono recentemente cambiate, con gli aggressori che utilizzano falsi inviti di Google Meet e inviano e-mail di phishing mirate alle società di spedizione e logistica.

Nuovi trucchi includono pagine Facebook false e discussioni GitHub false.

Sekoia collega anche le recenti campagne a due gruppi, Slavic Nation Empire (SNE) e Scamquerteo, che si ritiene facciano parte dei gruppi truffatori di criptovaluta Marko Polo e CryptoLove.

Gli attacchi tramite Google Meet sembrano particolarmente convincenti: gli aggressori inviano e-mail con link falsi che imitano quelli ufficiali:

  • incontra[.]google[.]noi-unisciti[.]com
  • incontra[.]google[.]web-join[.]com
  • incontra[.]googie[.]com-unisciti[.]a noi

Dopo aver visitato tali pagine, agli utenti viene mostrato un messaggio relativo a un presunto problema con il microfono o le cuffie. Un tentativo di “correggere” l’errore attiva lo script ClickFix standard: il codice PowerShell dannoso viene eseguito tramite la riga di comando, scaricando malware dal dominio “googiedrivers[.]com”.

Per i dispositivi Windows, viene scaricato Stealc o Rhadamanthys e su macOS, AMOS Stealer è installato nel formato “.DMG” chiamato “Launcher_v194“. Oltre a Google Meet, gli aggressori utilizzano anche altre piattaforme per distribuire malware, tra cui Zoom, falsi lettori PDF, videogiochi falsi e progetti web3.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Dal furto d’immagine ai deepfake: la nuova frontiera della manipolazione digitale
Di Paolo Galdieri - 15/09/2025

Negli ultimi mesi mi sono trovato più volte a redigere querele per video falsi che circolavano online. Non parliamo soltanto di contenuti rubati e diffusi senza consenso, ma anche di deepfake: filmat...

SIEM Satellitare: La difesa USA sviluppa una AI per la difendere i satelliti dagli hacker
Di Redazione RHC - 13/09/2025

Le aziende appaltatrici della difesa statunitense stanno sviluppando uno strumento di intelligenza artificiale chiamato Cyber Resilience On-Orbit (CROO) per rilevare attacchi informatici ai satelliti ...

L’Italia tra i grandi degli Spyware! Un grande terzo posto dopo Israele e USA
Di Redazione RHC - 12/09/2025

Non brilliamo molto nella sicurezza informatica, ma sugli Spyware siamo tra i primi della classe! Secondo una ricerca dell’Atlantic Council, il settore dello spyware è in piena espansione, poiché ...

Addio a PowerShell 2.0 e WMIC! La grande pulizia di Windows 11 è iniziata
Di Redazione RHC - 12/09/2025

Gli utenti di Windows 11 che hanno installato l’aggiornamento di settembre 2025 potrebbero pensare che non cambi praticamente nulla. A prima vista, KB5065426 sembra una normale piccola patch che Mic...

Arriva SpamGPT! il nuovo kit di phishing che combina AI, Spam e Genialità diabolica
Di Redazione RHC - 11/09/2025

Un nuovo strumento chiamato SpamGPT è apparso sui forum underground ed è rapidamente diventato oggetto di discussione nel campo della sicurezza informatica. Il software malevolo combina le capacità...