ClickFix torna a colpire. Dopo essere emersa lo scorso anno, la campagna di phishing ha registrato un aumento significativo delle sue attività, prendendo di mira il settore turistico a livello globale.
Microsoft, in un recente post sul suo blog, ha segnalato che la campagna prende di mira i dipendenti di strutture ricettive in Nord America, Oceania, Sud e Sud-Est asiatico ed Europa, in particolare coloro che operano con Booking.com. Gli attaccanti inviano finte email da parte della compagnia.
Il contenuto delle email ingannevoli varia da false recensioni negative di ospiti a richieste di potenziali clienti, passando per notifiche di verifica dell’account o attivazione di promozioni. All’interno dell’email è incluso un link che rimanda a una finta pagina di Booking, dove l’utente viene invitato a risolvere un CAPTCHA per confermare la propria identità.
Superato il CAPTCHA, la vittima riceve istruzioni per aprire una shell di Windows e copiarvi ed eseguire un comando automaticamente aggiunto nella clipboard. Il comando mshta.exe scarica e avvia il download e l’esecuzione di codice malevolo che distribuisce vari tipi di malware come XWorm, Lumma Stealer, VenomRAT, AsyncRAT, Danabot e NetSupport RAT.
L’obiettivo della campagna è sottrarre informazioni sensibili, credenziali d’accesso, registrare l’attività dell’utente e trasmettere i dati rubati a server C2 controllato degli aggressori, con la possibilità di essere riutilizzati in ulteriori attacchi.
Secondo Microsoft, il gruppo cybercriminale responsabile di ClickFix è Storm-1865, attivo da almeno il 2023 e già coinvolto in campagne contro agenzie di viaggio, piattaforme di e-commerce e servizi email come Gmail e iCloud Mail.
Per difendersi da ClickFix, è essenziale riconoscere i segnali di phishing: verificare sempre il mittente, individuare errori di battitura nei testi e diffidare dalle comunicazioni che trasmettono urgenza. In caso di dubbi, è consigliabile contattare direttamente il servizio per confermare l’autenticità del messaggio.
