Il malware Latrodectus rappresenta una delle più recenti minacce informatiche ad adottare la tecnica di social engineering nota come ClickFix per la sua diffusione. Questa strategia risulta particolarmente pericolosa in quanto consente al malware di eseguire codice direttamente in memoria, evitando così che venga scritto su disco e riducendo le possibilità di rilevamento da parte dei browser o degli strumenti di sicurezza. Latrodectus, considerato l’erede di IcedID, agisce come downloader per altri payload come ransomware e si è distinto per la capacità di eludere i sistemi di difesa tradizionali.

L’adozione della tecnica ClickFix

L’adozione della tecnica ClickFix non è casuale: permette di coinvolgere direttamente l’utente, spingendolo a copiare e incollare comandi PowerShell da siti compromessi. Questi comandi installano file dannosi tramite MSIExec e li eseguono in memoria. In alcuni casi, viene utilizzata un’applicazione legittima di NVIDIA per facilitare il sideloading di una DLL malevola, che poi sfrutta curl per scaricare il payload principale. Per ridurre il rischio di infezioni, è consigliato disabilitare la funzione Run di Windows tramite Group Policy Objects o modifiche al registro di sistema, limitando così l’esecuzione di script non autorizzati.

Sfruttamento di TikTok e social engineering

Un’evoluzione significativa di questa minaccia è stata rilevata nelle campagne che sfruttano i video TikTok come veicolo di ingegneria sociale. Gli attaccanti pubblicano video, spesso generati con l’ausilio di strumenti di intelligenza artificiale, che spiegano agli utenti come attivare software piratati o sbloccare funzionalità premium di programmi popolari come Windows, Microsoft Office, CapCut e Spotify. In realtà, gli spettatori vengono guidati passo passo ad aprire il prompt Esegui (Windows + R), lanciare PowerShell e inserire comandi dannosi che infettano il loro sistema con malware come Vidar e StealC.

La campagna ha ottenuto grande visibilità grazie a video con centinaia di migliaia di visualizzazioni, pubblicati da account TikTok ormai disattivati. Questo dimostra quanto gli hacker siano abili nel sfruttare le piattaforme social più in voga per colpire un grande numero di utenti, in particolare quelli alla ricerca di soluzioni facili per attivare software illegalmente.

Attacchi ai dispositivi Mac e furto di wallet

Parallelamente, sono state individuate campagne di malware che prendono di mira gli utenti Mac attraverso versioni clonate dell’app Ledger Live, progettate per rubare dati sensibili come le seed phrase dei wallet di criptovalute. Questi attacchi utilizzano file DMG malevoli che, una volta eseguiti, attivano AppleScript per esfiltrare password e dati, inducendo la vittima a fornire la propria seed phrase a server controllati dagli attaccanti.