Lo strumento ClickFix, usato dal cybercrime, ora è sfruttato anche da gruppi APT legati a stati come Corea del Nord, Iran e Russia per campagne di cyberspionaggio.
Autore: Redazione SecurityOpenLab
La tecnica di social engineering ClickFix, storicamente associata al cybercrime, è ora utilizzata anche da APT legati a governi di Corea del Nord, Iran e Russia. Si tratta di un aspetto degno di nota perché, fino a oggi, questa metodologia era considerata tipica del cybercrime e non delle campagne di cyberspionaggio condotte da governi o da organizzazioni di alto profilo. La sua comparsa nelle operazioni APT rappresenta una significativa evoluzione delle strategie offensive e dimostra come le barriere tra cybercrime e cyberspionaggio si stiano facendo sempre più sottili. A portare alla luce questa relazione sono stati i ricercatori di Proofpoint, che hanno documentato il proprio operato in un dettagliato post sul blog aziendale.
Per comprendere appieno la portata di questa novità, è utile chiarire che cosa rende ClickFix così interessante per chi attacca. Gli APT lavorano con pazienza, sfruttando vulnerabilità tecniche e psicologiche per ottenere accesso a dati riservati, infrastrutture critiche o segreti industriali. ClickFix si inserisce in questo contesto come una tecnica di social engineering che sfrutta la fiducia e la disattenzione degli utenti.
Il suo funzionamento si basa su un meccanismo tanto semplice quanto efficace: la vittima riceve un messaggio di errore apparentemente legittimo, spesso ben confezionato con loghi e riferimenti a Microsoft o ad altri vendor noti, che segnala un problema nell’apertura di un documento o nell’accesso a una risorsa. Il messaggio invita quindi l’utente a seguire una procedura di ‘risoluzione’, che consiste nel copiare e incollare un comando all’interno di PowerShell o del terminale del sistema operativo. Quello che l’utente non sa è che, così facendo, esegue volontariamente uno script malevolo che scarica ed esegue codice dannoso, dando il via all’infezione.
La forza di ClickFix sta proprio nella sua capacità di aggirare le difese tecniche facendo leva sul fattore umano. Invece di sfruttare vulnerabilità software, la tecnica induce la vittima a compiere un’azione rischiosa, senza che se ne renda conto. Questo approccio, già ampiamente sfruttato dal cybercrime, è ora adottato anche dagli APT per la sua efficacia nel superare i controlli di sicurezza più avanzati, soprattutto in ambienti dove le policy di sicurezza bloccano l’esecuzione automatica di macro o allegati sospetti.
I ricercatori di Proofpoint hanno individuato diversi casi concreti in cui gruppi APT hanno integrato ClickFix nelle proprie campagne. Il gruppo TA427, legato alla Corea del Nord, ha preso di mira think tank e diplomatici coinvolti in questioni relative a Pyongyang, inviando loro email che simulavano inviti a incontri diplomatici, apparentemente inviati da ambasciate o da istituzioni internazionali. Seguendo i link contenuti nei messaggi, gli utenti venivano indirizzati verso siti che imitavano drive condivisi o portali ufficiali. Qui si nascondeva la trappola: una schermata segnalava che il documento era corrotto o bloccato e forniva istruzioni dettagliate per copiare un comando PowerShell in modo da sbloccare la situazione. L’esecuzione di questo comando attivava il malware come QuasarRAT - uno strumento open-source che consente il controllo remoto del sistema infetto, l’esfiltrazione di dati e l’installazione di ulteriori payload.
Un’altra variante di questa tecnica è stata osservata nelle campagne di TA450, gruppo iraniano noto per la sua attività contro obiettivi di alto profilo nella regione mediorientale. In questo caso le email contenevano link a pagine che simulavano aggiornamenti di sicurezza Microsoft. Anche in questo caso, la vittima veniva indotta a eseguire comandi forniti nella pagina, che portavano al download e all’attivazione di tool di gestione remota come Level. Anche in questo caso l’obiettivo era aggirare le restrizioni sugli allegati, ottenuto tramite lo sfruttamento della fiducia degli utenti nei confronti di comunicazioni apparentemente ufficiali.
Non meno sofisticata è stata la variante russa, riconducibile a gruppi come TA422 e UNK_RemoteRogue. In queste campagne, gli attaccanti sfruttavano server di posta compromessi, come quelli basati su Zimbra, per inviare email da indirizzi legittimi appartenenti a organizzazioni fidate. Le landing page a cui venivano indirizzate le vittime includevano persino tutorial video, spesso caricati su YouTube, per spiegare passo passo come eseguire i comandi richiesti. In questo modo, anche gli utenti meno esperti venivano guidati nell’attivazione del payload, che poteva includere framework come Empire o Metasploit per l’escalation dei privilegi e il movimento laterale all’interno della rete.
Dal punto di vista tecnico, ClickFix si rivela uno strumento particolarmente interessante per gli attaccanti per diversi motivi. Innanzitutto, il suo costo operativo è molto basso: i threat actor possono riutilizzare strumenti open-source come QuasarRAT, sfruttare infrastrutture compromesse e non devono investire in exploit zero day costosi e rischiosi. Inoltre, la tecnica consente di eludere molte delle difese tradizionali basate su signature o su analisi comportamentale, perché l’azione chiave viene compiuta dall’utente stesso, che si trasforma inconsapevolmente in vettore dell’attacco. Dal punto di vista delle comunicazioni, i canali di comando e controllo utilizzati dagli attaccanti spesso si appoggiano a protocolli legittimi come HTTP o HTTPS e transitano attraverso server compromessi in paesi terzi, rendendo difficile il tracciamento e l’attribuzione.
Gli Indicatori di Compromissione associati a queste campagne sono molteplici e comprendono richieste DNS verso domini Dynamic DNS non riconducibili all’attività aziendale, connessioni verso indirizzi IP in Autonomous System Number insoliti per l’organizzazione, la presenza di task schedulati con nomi generici che simulano aggiornamenti di sistema e file di script (VBS o BAT) nelle directory temporanee.
Dal punto di vista del codice, i comandi ClickFix tipici prevedono l’uso di PowerShell per scaricare ed eseguire codice direttamente in memoria, evitando la scrittura su disco e quindi complicando ulteriormente la detection da parte degli antivirus. Un esempio fornito da Proofpoint mostra come uno script PowerShell possa scaricare un secondo stadio da un dominio compromesso e attivarlo senza lasciare tracce evidenti sul sistema.
Per difendersi da queste minacce, Proofpoint esorta a implementare allowlist di domini per le comunicazioni esterne, bloccando servizi Dynamic DNS non autorizzati; monitorare attentamente le attività di PowerShell attraverso soluzioni EDR che analizzino il comportamento dei processi e, soprattutto, formare il personale su casi reali di ClickFix, insegnando loro a riconoscere la differenza tra richieste legittime e tentativi di social engineering.