La nuova campagna di phishing che sfrutta la credibilità di GLS
Una recente campagna di attacco informatico sta sfruttando la reputazione del corriere GLS per diffondere il malware Remcos, un noto Remote Access Trojan (RAT) che consente agli aggressori di prendere il controllo remoto dei dispositivi infettati. L’allarme è stato lanciato dal CERT-AgID, l’ente governativo italiano specializzato nella risposta alle emergenze informatiche, che ha individuato una sofisticata operazione di ingegneria sociale basata sulla tecnica ClickFix. Questa metodologia, già nota agli esperti di cybersecurity, viene impiegata per indurre le vittime a eseguire comandi dannosi sul proprio computer, spesso mascherando l’attacco dietro falsi problemi tecnici o comunicazioni apparentemente legittime. In questo caso specifico, i criminali informatici inviano email che imitano perfettamente la grafica e il tono istituzionale di GLS, suggerendo all’utente di programmare una nuova data di consegna per un presunto pacco in arrivo. L’obiettivo è convincere il destinatario ad aprire un allegato, presentato come modulo da compilare, che in realtà nasconde codice malevolo.
Come funziona l’attacco ClickFix a tema GLS
Il meccanismo dell’attacco è articolato in più fasi, ciascuna progettata per superare le difese dell’utente e dei sistemi di sicurezza. L’email fraudolenta, apparentemente inviata dal supporto di GLS, contiene un allegato in formato XHTML. All’apertura, questo file avvia uno script JavaScript che reindirizza la vittima su un sito clone di GLS, estremamente simile all’originale per layout e contenuti. Una volta sul sito fasullo, all’utente viene chiesto di cliccare sul pulsante “Programma una nuova consegna”. A questo punto compare un pop-up che simula un test CAPTCHA, chiedendo di dimostrare di non essere un robot. La richiesta sembra innocua, ma nasconde l’inganno: per “superare” il test, la vittima deve aprire la finestra Esegui di Windows (tramite la combinazione di tasti Win + R), incollare un comando copiato dagli aggressori (Ctrl + V) e premere Invio. Questo comando, in realtà, avvia un processo di PowerShell che scarica ed esegue Remcos sul sistema della vittima. A quel punto, gli attaccanti ottengono il controllo completo del dispositivo, potendo spiare attività, rubare dati sensibili o utilizzare la macchina per ulteriori attacchi.
Perché questa campagna è particolarmente pericolosa
La pericolosità di questa campagna risiede nella combinazione di tecniche avanzate di ingegneria sociale e nell’uso di brand affidabili come GLS. Gli utenti, abituati a ricevere comunicazioni dai corrieri per la gestione delle consegne, tendono a fidarsi del mittente e a seguire le indicazioni ricevute, soprattutto se il messaggio sembra urgente o legato a un servizio effettivamente utilizzato. Inoltre, l’uso di ClickFix permette agli aggressori di bypassare molti strumenti di sicurezza tradizionali, poiché l’esecuzione del malware avviene tramite comandi manuali impartiti dall’utente stesso, spesso senza che i sistemi di protezione rilevino alcuna minaccia. La vittima, convinta di risolvere un problema tecnico, diventa inconsapevolmente complice dell’infezione. Secondo gli esperti del CERT-AgID, questa campagna dimostra una crescente sofisticazione delle minacce informatiche in Italia, con attacchi sempre più mirati e difficili da individuare senza una adeguata formazione degli utenti.
Come difendersi da attacchi ClickFix e phishing
La prevenzione rimane l’arma più efficace contro questo tipo di minacce. È fondamentale diffidare di qualsiasi email che richieda l’esecuzione di comandi sul proprio computer, soprattutto se il messaggio arriva inaspettatamente o contiene richieste insolite. Gli utenti dovrebbero verificare sempre l’autenticità del mittente, controllando l’indirizzo email completo e non limitandosi al nome visualizzato. In caso di dubbi, è consigliabile contattare direttamente il servizio clienti del corriere tramite i canali ufficiali, senza utilizzare i link o gli allegati presenti nella comunicazione sospetta. Le aziende, dal canto loro, dovrebbero investire in programmi di formazione sulla sicurezza informatica, sensibilizzando i dipendenti sui rischi del phishing e delle tecniche di ingegneria sociale. Anche l’adozione di soluzioni di protezione avanzata, come antimalware di nuova generazione e sistemi di rilevamento delle anomalie, può contribuire a mitigare il rischio. Tuttavia, nessuno strumento tecnologico può sostituire la prudenza e la consapevolezza dell’utente finale.
Questo articolo è stato scritto utilizzando le seguenti fonti:
- CERT-AgID – Agenzia per l’Italia Digitale - BleepingComputer - Kaspersky Italia