Un falso aggiornamento di Windows ruba password e portafogli crittografici

I criminali informatici hanno aggiornato il famigerato malware ClickFix fingendosi un legittimo aggiornamento di Windows, inducendo gli utenti a incollare codice dannoso nella finestra Esegui. Ciò che rende questo attacco particolarmente ingegnoso è che utilizza i dati pixel di un file PNG per attivare un codice dannoso che ruba nomi utente, password, portafogli crittografici, dati bancari e altre informazioni sensibili.

I ricercatori di Huntress hanno recentemente scoperto una nuova variante di ClickFix. Mostra una finta finestra del browser a schermo intero che imita un aggiornamento di Windows, con tanto di barra di avanzamento bloccata al 95% per un presunto "aggiornamento di sicurezza critico". Il malware si trova più comunemente su falsi siti web per adulti che imitano portali popolari, spesso sotto forma di pubblicità o richieste di verifica dell'età. Cliccando su uno di questi elementi, si attiva la finta finestra di aggiornamento.

Agli utenti viene quindi richiesto di premere Windows + R e incollare il codice dannoso, concedendo inconsapevolmente ai cybercriminali l'accesso con privilegi amministrativi. Il comando avvia il programma mshta (Microsoft HTML Application Host) con un URL dannoso, che scarica codice aggiuntivo dalla sorgente esadecimale. Vengono quindi eseguiti script di PowerShell, confondendo programmi di sicurezza come Bitdefender e decrittografando il file PNG, da cui vengono estratti i comandi shell, che vengono iniettati nei processi già in esecuzione.

Sebbene PNG sembri innocuo, i suoi pixel contengono codice dannoso crittografato. Una volta decifrati, vengono attivati infostealer come Rhadamanthys o LummaC2, che raccolgono password, credenziali e dati del portafoglio crittografico e li inviano a server esterni.

Huntress segnala che questa variante si sta diffondendo dall'inizio di ottobre, con molti domini che ospitano ancora la falsa finestra di aggiornamento. Gli hacker oscurano ulteriormente il codice con righe casuali o persino strane citazioni, tra cui quelle di una riunione delle Nazioni Unite sul disarmo.

ClickFix è una delle forme più sofisticate di malware per il furto di dati mai viste. Gli esperti consigliano agli utenti di controllare gli URL dei domini, evitare annunci sospetti e non immettere mai comandi sconosciuti nei propri dispositivi.