Le campagne di malware stanno diventando sempre più sofisticate e minacciose, come dimostra la recente ondata di attacchi che sfruttano MostereRAT e ClickFix. Queste nuove strategie di phishing e attacchi informatici evidenziano la crescente pericolosità dell'utilizzo combinato di tecniche avanzate di evasione, social engineering e intelligenza artificiale nel panorama della cybersecurity globale.

MostereRAT: evoluzione e tecniche di attacco

MostereRAT, originariamente noto come malware bancario, si è evoluto in un potente trojan di accesso remoto. Gli attaccanti utilizzano email di phishing mirate soprattutto agli utenti giapponesi, facendo leva su tematiche legate a richieste di business per indurre le vittime a scaricare allegati dannosi. All'interno di questi allegati si trova un file ZIP che contiene un eseguibile sviluppato con Easy Programming Language (EPL), linguaggio scelto proprio per la sua diffusione in Asia e per la capacità di mascherare le finalità malevole.

Una volta eseguito, MostereRAT adotta numerose tecniche per sfuggire ai sistemi di difesa: disabilita strumenti di sicurezza di Windows, blocca il traffico di rete verso programmi di sicurezza noti e utilizza comunicazioni sicure tramite mTLS per dialogare con i server di comando e controllo. Il malware può inoltre installare strumenti di accesso remoto molto diffusi come AnyDesk e TightVNC, ampliando così il controllo degli attaccanti sulle macchine infette.

Tra le funzionalità più pericolose spicca la capacità di agire con privilegi elevati, modificare il registro di sistema e cancellare file critici. I moduli di MostereRAT permettono anche di monitorare finestre attive, registrare i tasti premuti, eseguire comandi da remoto, rubare informazioni, caricare ed eseguire codice malevolo e addirittura creare utenti amministratori nascosti.

ClickFix e nuove tecniche di phishing

Parallelamente, una nuova campagna che sfrutta la tecnica ClickFix prende di mira utenti alla ricerca di software legittimi come AnyDesk. Gli attaccanti presentano una finta pagina di verifica Cloudflare che induce le vittime a interagire manualmente con il sistema. Attraverso sofisticati meccanismi, viene scaricato e installato un infostealer chiamato MetaStealer, eludendo i controlli tradizionali. In aggiunta, i ricercatori hanno rilevato l'uso di tecniche di CSS-based prompt injection per manipolare i sistemi di intelligenza artificiale deputati alla generazione di riassunti automatici, rendendo possibile la diffusione di istruzioni pericolose e persino il rilascio di ransomware tramite piattaforme di produttività e email.

L'importanza della formazione e dell'aggiornamento della sicurezza

Questi sviluppi sottolineano l'urgenza di aggiornare costantemente le soluzioni di sicurezza e formare gli utenti sui rischi crescenti di phishing e manipolazione tramite AI, poiché le minacce diventano sempre più subdole e difficili da individuare.