|  |  |  |  |  |  | 

Nuovo attacco ClickFix con falso BSOD di Windows

DiRedazione
Tempo di lettura: 6 minuti

È in corso una nuova campagna ClickFix che usa falsi BSOD di Windows nel browser per convincere l’utente a eseguire comandi PowerShell incollati dalla clipboard, portando all’installazione di malware (in particolare DCRat) su sistemi Windows, soprattutto nel settore hospitality europeo.​

Come funziona l’attacco

  • Vittima raggiunta via phishing (es. finti email Booking.com con link a “cancellazione prenotazione” o “rimborso”) o malvertising, che la portano su un sito clone molto credibile.​
  • La pagina mostra prima un errore del tipo “page taking too long to load” o un finto CAPTCHA; al click su “Reload/Refresh” o simili il browser va a schermo intero e appare un finto BSOD.​
  • Il finto BSOD dà istruzioni passo‑passo: premere Windows+R, poi Ctrl+V e Invio per “riparare” il problema; in realtà viene incollato un comando PowerShell già copiato automaticamente nella clipboard dalla pagina ClickFix.​

Cosa fa la catena di infezione

  • Il comando PowerShell scarica un file di progetto MSBuild (es. v.proj) e lo esegue tramite msbuild.exe, abusando di strumenti legittimi (“living‑off‑the‑land”).​
  • Lo script risultante disabilita o indebolisce Windows Defender (esclusioni, modifica monitoraggio in tempo reale), scarica un loader (es. staxs.exe) e imposta persistenza con un file .url nella cartella Startup.​
  • Il payload finale è un RAT DCRat personalizzato che si inietta in processi legittimi (es. aspnet_compiler.exe) e stabilisce C2 su porte dedicate per controllo remoto, furto dati, movimento laterale in rete.​

Segnali per riconoscere il falso BSOD

  • Un vero BSOD non appare dentro il browser e non mostra barra indirizzi o controlli della finestra.​
  • Il BSOD legittimo non fornisce istruzioni dettagliate tipo “premi Windows+R, poi Ctrl+V e Invio” né chiede di copiare/incollare comandi; di solito mostra solo un codice errore e la richiesta di riavviare.​
  • Pagina che prima mostra “site taking too long to load” / finto CAPTCHA, poi al refresh diventa un finto crash: forte indicatore di pagina ClickFix.​

Mitigazioni tecniche e operative

  • Bloccare domini e URL noti della campagna (es. cloni Booking.com tipo low-house[.]com, e altri indicatori IoC pubblicati da Securonix e altri vendor).​
  • Rafforzare controlli su PowerShell (Constrained Language Mode, logging ScriptBlock, blocco di esecuzione di comandi da Run/clipboard se possibile) e monitorare uso anomalo di msbuild.exe che scarica/esegue progetti da percorsi sospetti.​
  • Hardening di Windows Defender (vietare creazione dinamica di esclusioni non autorizzate, monitorare modifiche a policy AV, controllare persistenze in cartella Startup .url / eseguibili anomali).​

Raccomandazioni di awareness per gli utenti

  • Mai seguire istruzioni mostrate in “schermate di errore” dentro il browser che richiedono di aprire Windows+R e incollare comandi; chiudere la finestra (Alt+F4) o killare il browser dal Task Manager.​
  • Diffidare di email Booking.com / hotel con link a cancellazioni/rimborsi urgenti e importi molto elevati; verificare sempre l’operazione entrando direttamente dal portale ufficiale, non dal link nella mail.​
  • Formare in modo mirato il personale front‑office/hospitality, che è il target principale della campagna PHALT#BLYX, con esempi concreti di falso BSOD ClickFix e procedure chiare di escalation verso IT/security.

Per un sistema compromesso da ClickFix con DCRat la priorità è: isolare subito la macchina, rimuovere la persistenza (scheduled task/registry/Startup), eliminare i binari (v.proj, loader, RAT) e ripristinare Defender, con successiva verifica completa dell’intera rete.​

Passi immediati di contenimento

  • Scollega la macchina da rete cablata/Wi‑Fi/VPN, ma non spegnerla (serve per l’analisi forense minima).
  • Se è in dominio, mettila in una OU di quarantena/blocca policy di rete e segnala subito l’incidente al team sicurezza/IT (possibile movimento laterale di DCRat).​

Identificare la catena ClickFix

  • Cerca artefatti tipici ClickFix/PHALT#BLYX: v.proj in ProgramData, loader tipo staxs.exe, file .url sospetti in Startup (per‑utente e All Users).​
  • Verifica lo storico PowerShell e msbuild.exe per esecuzioni anomale da percorsi non standard, usando log ScriptBlock / Sysmon / SIEM se presenti.​

Rimozione tecnica (host singolo)

  • Termina processi sospetti/iniettati (eseguibili in percorsi non standard o nominativi anomali) e, se identificato, il processo DCRat prima di toccare i file.​
  • Rimuovi i meccanismi di persistenza DCRat: scheduled task sospetti, chiavi Run/Winlogon che puntano a binari non legittimi, .url in cartella Startup, quindi cancella i file v.proj, loader e RAT dalle loro directory.​

Ripristino sicurezza e scansioni

  • Ripristina le impostazioni di Windows Defender manomesse da ClickFix (riattiva monitoraggio in tempo reale, rimuovi esclusioni aggiunte su ProgramData o altri path), poi esegui full scan con AV/EDR aggiornato; tool come Malwarebytes rilevano Backdoor.DCRat come Backdoor.DCRat/Backdoor.DarkCrystal.​
  • Dopo la bonifica, riavvia in modalità normale ed esegui un secondo ciclo di scansione (idealmente con un secondo motore o offline scan) per confermare che non ci siano residui di RAT o di altri payload.​

Bonifica estesa e hardening

  • Considera compromesse le credenziali usate sulla macchina: forza reset password (account AD, VPN, email, gestionali), e verifica l’eventuale abuso sugli account.​
  • Su tutta la rete implementa detection su: abuso di msbuild.exe, pattern ClickFix (BSOD nel browser + Run/PowerShell), creazione di scheduled task/Run/Winlogon sospetti, connessioni verso C2 DCRat noti (es. IP/port 3535 e altri IoC di PHALT#BLYX).​

Per DarkCrystal RAT (DCRat) le chiavi principali da controllare sono le classiche Run e Winlogon di Windows, più eventuali scheduled task; la variante ClickFix/PHALT#BLYX aggiunge di suo anche uno shortcut in Startup, quindi conviene verificare tutti questi punti insieme.​

Chiavi Run utente/sistema

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    • DCRat crea un valore con nome uguale (o simile) al nome del sample senza estensione, con dati tipo C:\percorso\al\sample.exe.
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    • Alcune varianti usano anche il Run di macchina per avvio a livello sistema, stesso schema: valore “legit‑like” che punta al binario DCRat o al loader.​

In entrambi i casi: identifica il valore sospetto, annota il path, elimina il valore dal registro e poi cancella il binario relativo dopo aver chiuso il processo.

Chiave Winlogon Shell

  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon → valore Shell.​
    • Normalmente deve essere solo explorer.exe.
    • DCRat può appenderci il path del sample, ad esempio:
      • explorer.exe "C:\path\to\sample.exe" oppure explorer.exe,C:\path\to\sample.exe.
  • Azione: modifica il valore Shell rimettendolo a explorer.exe e rimuovi ogni riferimento a eseguibili sospetti, poi elimina il file DCRat dal percorso indicato.​

Altri punti di persistenza correlati

  • Scheduled task: DCRat può creare task via schtasks.exe che richiamano il sample ogni avvio/minuto; vanno rimossi da Utilità di pianificazione o da CLI e poi va eliminato il binario.​
  • Startup folder (specifico ClickFix/PHALT#BLYX): viene creato uno .url nella cartella Startup utente / All Users che punta al loader DCRat; cancella lo shortcut e il relativo eseguibile.​

Per rilevare e rimuovere DCRat strumenti tipo Autoruns/Sysinternals sono molto utili per individuare rapidamente le voci Run/Winlogon e altri auto‑start sospetti, ma vanno usati in combinazione con un buon AV/EDR e, se possibile, analisi di rete/telemetria.​

Strumenti consigliati

  • Autoruns for Windows – elenca tutte le posizioni di avvio automatico (Run, Winlogon, Scheduled Tasks, Services, Explorer, browser helper, ecc.) ed è indicato anche nelle guide di rimozione DarkCrystal RAT per identificare e cancellare le voci di avvio del malware.​
  • Process Explorer – consente di analizzare processi sospetti, path, firme digitali e catene di parent/child per riconoscere il processo DCRat o il loader prima di rimuovere i relativi autorun.

Come usarli contro DCRat

  • Avvia la macchina (meglio se in Safe Mode con Networking) ed esegui Autoruns come amministratore, abilitando la visualizzazione di tutte le voci (disattiva “Hide Windows Entries” e “Hide Empty Locations”), poi usa il filtro per cercare percorsi sospetti, nomi randomici e path che puntano ai binari DCRat/loader.​
  • Da Autoruns disabilita o elimina voci Run/RunOnce, Winlogon, Scheduled Tasks, Services che puntano a quei binari; quindi, dopo esserti assicurato con Process Explorer di avere terminato i processi relativi, elimina i file dal disco e riavvia per verificare che non ricompaiano.​

Integrazione con AV/telemetria

  • Dopo la pulizia manuale, esegui full scan con un motore AV/EDR aggiornato che rilevi DCRat (molti prodotti lo classificano come Backdoor.DCRat/DarkCrystal RAT) per ripulire eventuali residui o moduli secondari.​
  • Se hai SIEM/Splunk, puoi importare le detection pubbliche su DCRat per individuare host che mostrano ancora persistenza (Run/Winlogon/task) o traffico verso C2 noti, a completamento del lavoro fatto con Autoruns.

Per analizzare gli autostart di DCRat, oltre ad Autoruns puoi usare altri tool Sysinternals per correlare persistenza, processi e attività sul filesystem/registro, così da validare cosa è davvero malevolo.​

Strumenti Sysinternals utili

  • Process Explorer – mostra processi, parent/child, path completi, firme digitali e connessioni; ti permette di individuare il processo DCRat/loader legato a una voce di avvio sospetta prima di rimuoverla.​
  • Process Monitor – traccia in tempo reale accessi a file, registro e rete; puoi filtrare sul binario sospetto o su chiavi Run/Winlogon/Task Scheduler per vedere quali processi le manipolano o si avviano da lì.​

Come usarli contro DCRat

  • Usa Process Explorer per:
    • Trovare processi non firmati in percorsi anomali (es. sotto ProgramData/Temp) collegati a voci Run/Winlogon o task pianificati;
    • Verificare iniettati/sospetti, quindi killare in sicurezza il processo DCRat prima di toccare autorun e file su disco.​
  • Usa Process Monitor per:
    • Filtrare su RegSetValue e CreateProcess relativi alle chiavi Run e Winlogon e ai task, così da confermare quali entry avviano realmente il RAT e intercettare eventuali ricreazioni della persistenza dopo la pulizia.

Process Hacker può aiutare a individuare e chiudere processi e servizi usati dal malware (tipo DCRat), ma non sostituisce Autoruns per la visione completa degli autostart e richiede attenzione perché spesso è rilevato/limitato dagli AV aziendali.​

Cosa ci fai in ottica autostart

  • Puoi usarlo per vedere processi partiti all’avvio, controllare path su disco, cmdline e parent (es. explorer.exe → sample DCRat) e mappare quali binari sono legati a Run/Winlogon/Startup/task pianificati.​
  • Le sue funzioni avanzate (handle, moduli, memoria, network) sono utili per confermare che un processo associato a un presunto autostart stia davvero comunicando con C2 o caricando DLL sospette prima di rimuovere la persistenza.​

Limiti rispetto ai Sysinternals

  • Non offre una vista unificata di tutte le chiavi di persistenza come fa Autoruns: per Run/Winlogon/Services/Task/Startup devi ancora verificare con regedit, Task Scheduler, esplora risorse o altri tool.​
  • Essendo uno strumento “potente”, diversi AV/EDR lo classificano come potenzialmente indesiderato o lo bloccano, il che può complicare l’uso in ambienti enterprise e generare falsi allarmi in policy più rigide.​

Come integrarlo in pratica contro DCRat

  • Flusso tipico:
    • Usa Autoruns o equivalente per enumerare autostart →
    • Usa Process Hacker per correlare ogni entry a un processo concreto (path, cmdline, connessioni, memoria) e killare il RAT/loader anche se protetto o “ostinato” →
    • Cancella poi voci Run/Winlogon/Task/Startup e binari dal disco e verifica che non si riattivino a reboot.​
  • In analisi dinamica di sample DCRat, Process Hacker è comodo per osservare nascita di nuovi processi, path di esecuzione e tentativi di nascondersi (copia/rename in percorsi non standard), così da derivare pattern utili per hunting sugli endpoint.
×

\ Get the latest news /

Ti potrebbero interessare anche:

Articoli simili

5 1 voto
Valutazione dell'articolo
Iscriviti
Notificami
guest
0 Commenti
Vecchi
Più recenti Le più votate
Feedback in linea
Visualizza tutti i commenti