Il panorama del cybercrime si arricchisce di una nuova minaccia particolarmente insidiosa che sfrutta l'ingenuità degli utenti trasformandoli nei complici inconsapevoli del proprio attacco informatico. I ricercatori di Recorded Future hanno identificato un sofisticato malware chiamato CastleRAT, sviluppato dal gruppo criminale TAG-150 in due versioni distinte - Python e C - ciascuna progettata con obiettivi specifici ma complementari. La strategia adottata dai cybercriminali dimostra una comprensione profonda delle dinamiche di sicurezza informatica moderna, dove spesso il punto più debole della catena non è la tecnologia, ma l'elemento umano.
L'inganno del ClickFix: quando l'utente diventa il vettore d'attacco
La tecnica denominata ClickFix rappresenta l'evoluzione dell'ingegneria sociale applicata al malware, trasformando presunte soluzioni in veri e propri cavalli di Troia digitali. Gli attaccanti presentano alle vittime false schermate di login di servizi popolari, accompagnate da messaggi allarmanti che segnalano problemi tecnici urgenti da risolvere. La vittima viene quindi guidata ad aprire la finestra di dialogo Esegui di Windows o il terminale PowerShell, dove deve incollare codice malevolo mascherato da "soluzione rapida" al problema segnalato.
L'efficacia di questa metodologia risulta sconcertante: secondo i dati della piattaforma Catalyst di PRODAFT, il malware CastleLoader del gruppo TAG-150 ha raggiunto un tasso di successo del 28,7% nel convincere le vittime a installare autonomamente il software dannoso. Un risultato che dimostra come la fiducia degli utenti possa essere facilmente manipolata quando si presenta loro una soluzione apparentemente legittima a un problema tecnico.
Due varianti, una strategia: la doppia natura di CastleRAT
L'approccio biforcuto adottato dai sviluppatori di CastleRAT rivela una strategia criminale ben orchestrata. La versione sviluppata in linguaggio C si presenta come la più aggressiva e completa dal punto di vista funzionale, capace di intercettare sequenze di tasti, catturare schermate e stabilire meccanismi di persistenza nel sistema infetto. Tuttavia, questa potenza ha un prezzo: numerosi antivirus generici riescono a identificarla, anche se non sempre riconducendola specificamente alla famiglia malware CastleRAT.
La variante Python segue una filosofia diametralmente opposta, privilegiando la furtività rispetto alla completezza funzionale. Questa versione riesce a stabilire una presenza nel sistema e scaricare malware aggiuntivo attraverso una shell remota, mantenendo anche la capacità di autodistruzione quando necessario. Il vero vantaggio della versione Python risiede nella sua capacità di rimanere invisibile ai sistemi di rilevamento: attualmente presenta zero o pochissime identificazioni da parte degli antivirus.
TAG-150: un'organizzazione criminale di livello internazionale
Il gruppo TAG-150, identificato per la prima volta nella primavera scorsa, opera come una vera e propria multinazionale del crimine informatico. La loro infrastruttura rivela un livello di sofisticazione che va ben oltre quello di cybercriminali improvvisati: utilizzano Tox Chat come servizio di comunicazione crittografata per il comando e controllo, operando attraverso un provider russo e mantenendo backup su server privati virtuali localizzati nei Paesi Bassi.
L'organizzazione ha già dimostrato la propria capacità innovativa sviluppando due famiglie malware precedenti - CastleBot e CastleLoader - distribuite attraverso repository GitHub fasulli e sempre mediante tecniche ClickFix. IBM classifica il gruppo come un'operazione malware-as-a-service, che vende l'accesso ai sistemi infetti a operatori specializzati in furto di informazioni e ransomware. Sebbene la maggior parte delle loro operazioni colpisca obiettivi americani, l'attribuzione precisa rimane complessa data la natura distribuita delle loro attività.
Prospettive future e raccomandazioni difensive
Gli analisti di Recorded Future prevedono che TAG-150 continuerà a sviluppare nuove famiglie malware nel breve termine, considerando la loro comprovata capacità di creare strumenti sofisticati e diversificati. La minaccia si estende anche all'utilizzo di infrastrutture legittime: i ricercatori hanno osservato il malware ospitato su indirizzi IP di Google Cloud, dimostrando come anche i fornitori affidabili possano essere compromessi.
Le contromisure consigliate includono il monitoraggio delle porte 443, 7777 e 80 per attività sospette, oltre a un approccio più cauto nei confronti di messaggi che richiedono l'esecuzione manuale di codice da parte dell'utente. La natura stessa della tecnica ClickFix sottolinea l'importanza della formazione degli utenti: quando la vittima diventa il vettore principale dell'attacco, la tecnologia da sola non basta a garantire la sicurezza.