La campagna ClickFix è una serie di attacchi di phishing sofisticati che stanno mettendo in guardia gli utenti di Google Meet. Questi attacchi utilizzano inviti falsi che sembrano provenire da fonti attendibili, come riportato da eSecurity Planet e The Hacker News. La campagna ClickFix è particolarmente pericolosa perché riesce a evitare la detezione dei sistemi di sicurezza, facendo sì che gli utenti eseguano comandi maliziosi direttamente sul terminale.
L’anatomia di un attacco ClickFix
La campagna ClickFix si basa sulla diffusione di inviti falsi che sembrano provenire da Google Meet. Questi inviti sono spesso personalizzati per sembrare provenire da fonti attendibili, come ad esempio il nome di un collega o un superiore. Gli URL utilizzati sono spesso simili a quelli ufficiali di Google Meet, come ad esempio meet[.]google[.]us-join[.]com o meet[.]google[.]com-join[.]us. Questa somiglianza è un trucco per abbassare le difese degli utenti, facendo loro credere che l’invito sia legittimo.
Il processo di infezione
Quando un utente clicca su un invito falso, viene reindirizzato a una pagina falsa di Google Meet. La pagina potrebbe mostrare un messaggio di errore che afferma di avere un problema tecnico con il microfono o il headset. Per risolvere il problema, l’utente viene invitato a copiare e eseguire un codice PowerShell malizioso. Questo codice sembra essere necessario per risolvere il problema, ma in realtà scarica e installa malware sul sistema dell’utente.
Suggerimenti e consigli per proteggersi
Per evitare di cadere vittima della campagna ClickFix, è importante essere cauti con gli inviti di Google Meet che non sono stati inviati direttamente da te o da qualcuno che conosci. Ecco alcuni suggerimenti per proteggersi:
- Verifica l’Autenticità dell’Invito: Se non sei sicuro che l’invito sia stato inviato da qualcuno che conosci, contatta direttamente la persona che ha inviato l’invito per confermare.
- Non Eseguire Codici Sconosciuti: Non copiare e eseguire codici PowerShell se non sei sicuro di cosa stai facendo. Questo può essere un segno di un attacco.
- Utilizza Antivirus e Antimalware: Assicurati di avere un antivirus e antimalware attivi e aggiornati per proteggere il tuo sistema da malware.
- Implementa la Sicurezza del Mail: Utilizza un servizio di sicurezza del mail che blocchi messaggi maliziosi e utilizza un programma di condivisione file sicuro.
- Monitora i Tuoi Endpoint: Utilizza strumenti di sicurezza per endpoint che utilizzino firewall avanzati e protezione da intrusioni.
- Richiedi l’Autenticazione a Due Fattori: Richiedi l’autenticazione a due fattori per proteggere i tuoi account.
- Installa Aggiornamenti e Patch: Installa aggiornamenti e patch immediatamente per risolvere vulnerabilità di sicurezza.
- Implementa la Segmentatione del Rete: Utilizza la segmentatione del rete per contenere la diffusione di un’infezione di malware.
- Testa i Tuoi Backup: Implementa un programma di backup e testa regolarmente i tuoi backup per assicurarti di poter ripristinare i dati in caso di un attacco.
La campagna ClickFix è un esempio di come i cybercriminali stiano sempre cercando di evadere le misure di sicurezza. È importante essere sempre cauti e seguire i suggerimenti e consigli sopra elencati per proteggere te stesso e la tua organizzazione da questi attacchi sofisticati. Ricorda che la prevenzione è la migliore difesa contro i malware e gli attacchi di phishing.
Fonte: https://socradar.io/clickfix-campaign-fake-google-meet-alerts-malware
