Attacco “ClickFix”: la trappola che ti fa cliccare “Non sono un robot” e infetta il PC

Il gruppo di hacker russi Star Blizzard e noto anche con i nomi di ColdRiver, UNC4057 e Callisto, ha di recente intensificato la propria attività con l’introduzione di nuove famiglie di malware chiamate NoRobot e MaybeRobot: si tratta di minacce che vengono distribuite attraverso complesse catene di infezione che iniziano con attacchi di ingegneria sociale noti come ClickFix, nei quali le vittime vengono indotte a eseguire codice maligno credendo invece di completare un test CAPTCHA.

Google Threat Intelligence Group (GTIG) ha pubblicato un rapporto che fa luce sulla la campagna: il gruppo ColdRiver ha abbandonato il malware LostKeys meno di una settimana dopo la pubblicazione dell’analisi tecnica da parte dei ricercatori, sostituendolo con una serie di nuovi strumenti ribattezzati NoRobot, YesRobot e MaybeRobot. LostKeys era stato precedentemente impiegato in operazioni di spionaggio ai danni di governi occidentali, giornalisti, think tank e organizzazioni non governative, con capacità di esfiltrazione dei dati basate su un elenco predefinito di estensioni e directory.

Schema di sviluppo del malware - Fonte: GTIG

Dopo la divulgazione pubblica di LostKeys, ColdRiver ha avviato una rapida fase di “retooling”, iniziando da NoRobot, un file DLL malevolo distribuito tramite attacchi ClickFix che utilizzano finte pagine CAPTCHA per convincere la vittima a eseguirlo tramite rundll32, credendo di effettuare una verifica di sicurezza. In realtà, cliccando sul presunto “Non sono un robot”, la vittima attiva l’esecuzione del malware NoRobot.

In un’analisi condotta a settembre, la società di sicurezza cloud Zscaler ha rinominato NoRobot in BaitSwitch e il suo payload in SimpleFix, descrivendo un sistema di infezione in costante evoluzione. Google conferma che NoRobot è stato oggetto di sviluppo continuo dalla primavera fino all’autunno, periodo in cui il malware ha guadagnato persistenza attraverso modifiche al registro di sistema e l’uso di attività pianificate. In alcune varianti, NoRrobot scaricava e installava Python 3.8 per Windows, preparandosi così a caricare il backdoor YesRobot, basato appunto su Python.

Questa soluzione, tuttavia, è stata presto abbandonata: secondo GTIG, l’uso di Python rappresentava un segnale troppo evidente che poteva attirare l’attenzione dei sistemi di sicurezza. ColdRiver ha quindi sostituito YesRobot con un nuovo backdoor basato su PowerShell, denominato MaybeRobot, identificato da Zscaler come una versione aggiornata di SimpleFix.

A partire da giugno, una versione “drasticamente semplificata” di NoRobot è stata utilizzata per distribuire MaybeRobot, capace di eseguire tre tipi di comandi: scaricare ed eseguire payload da URL specifici, avviare comandi tramite prompt di sistema, ed eseguire blocchi arbitrari di PowerShell. Dopo l’esecuzione, MaybeRobot invia i risultati a differenti canali di comando e controllo (C2), fornendo feedback al gruppo sugli esiti delle operazioni.

Secondo gli analisti di Google, lo sviluppo di MaybeRobot sembra essersi stabilizzato, mentre gli sforzi del gruppo si stanno concentrando sull’affinamento di NoRobot, reso progressivamente più stealth e sofisticato. I ricercatori hanno osservato un andamento ciclico nella complessità delle catene d’infezione, passate da architetture articolate a modelli più semplici, per poi tornare a soluzioni complesse che suddividono chiavi crittografiche tra diversi componenti. Solo combinando correttamente i vari segmenti è possibile decifrare il payload finale, una scelta progettuale che secondo il GTIG mira a rendere difficile la ricostruzione dell’intera catena di infezione.

Le operazioni di ColdRiver che distribuiscono NoRobot e i suoi successivi payload sono state osservate tra giugno e settembre e continuano a essere collegate ai servizi d’intelligence russi, in particolare all’FSB. Il gruppo, attivo almeno dal 2017, è noto per la propria attività di spionaggio informatico e rimane operativo nonostante i tentativi di contrasto, tra cui la disattivazione di infrastrutture malevole, azioni legali, e diverse sanzioni internazionali. Le sue campagne si sono finora basate principalmente su attacchi di phishing, ma il passaggio agli attacchi ClickFix rappresenta un cambiamento rilevante nelle tattiche operative.

Gli analisti ipotizzano che ColdRiver miri ora a colpire nuovamente obiettivi già compromessi in passato, sfruttando le nuove famiglie di malware per ottenere ulteriori informazioni dai dispositivi delle vittime, invece che dai loro account di posta elettronica. In questa prospettiva, gli attacchi ClickFix potrebbero servire a raccogliere dati aggiuntivi di valore strategico.

Il rapporto di Google include infine una serie di indicatori di compromissione e regole YARA utili ai professionisti della sicurezza per rilevare e mitigare le attività malevole legate ai malware della famiglia Robot.