L’applicazione Assistenza rapida (Quick Assist) di Windows 11 sarebbe stata sfruttata dagli hacker per diffondere ransomware.
Attacchi ransomware con Quick Assist
Stando a quanto riportano le indagini dei ricercatori di sicurezza di Microsoft, l’applicazione Assistenza rapida inclusa in Windows 11 per connettersi in remoto a un altro PC è stata sfruttata fingendo di essere il supporto tecnico o contatti fidati e ottenere l’accesso ai PC dei malcapitati.
Da metà aprile 2024, Microsoft Threat Intelligence ha osservato l’autore della minaccia Storm-1811 utilizzare in modo improprio lo strumento di gestione client Quick Assist per prendere di mira gli utenti in attacchi di ingegneria sociale. Storm-1811 è un gruppo criminale informatico motivato finanziariamente noto per aver distribuito il ransomware Black Basta. L’attività osservata inizia con l’imitazione tramite phishing vocale (vishing), seguita dalla distribuzione di strumenti dannosi, inclusi strumenti di monitoraggio e gestione remota (RMM) come ScreenConnect e NetSupport Manager, malware come Qakbot, Cobalt Strike e, infine, il ransomware Black Basta.
Nello specifico, per ottenere la fiducia degli utenti sarebbe stata utilizzata la tecnica del vishing, una forma di phishing tramite chiamata telefonica per indurre a rivelare informazioni sensibili o compiere azioni con falsi pretesti generalmente preceduta da e-mail fraudolente per adescare i malcapitati.
Durante la chiamata, l’autore della minaccia convince l’utente a concedergli l’accesso al proprio dispositivo tramite Quick Assist. L’utente preso di mira deve solo premere CTRL + Windows + Q e inserire il codice di sicurezza fornito dall’autore della minaccia, come mostrato nella figura seguente.
Dopo che la destinazione ha inserito il codice di sicurezza, riceve una finestra di dialogo che richiede l’autorizzazione per consentire la condivisione dello schermo. Selezionando Consenti si condivide lo schermo dell’utente con l’attore.
Una volta nella sessione, l’autore della minaccia può selezionare Richiedi controllo che, se approvato dalla vittima, garantisce all’autore della minaccia il pieno controllo del dispositivo della vittima.
Una volta ottenuto l’accesso al PC gli autori delle minacce hanno potuto installare strumenti per mantenere l’accesso in remoto, malware e ransomware. A questo proposito Microsoft fornisce una serie di consigli per evitare di imbattersi in queste situazioni e cadere in questo tipo di truffe – trovate maggiori dettagli a questo indirizzo.
Che ne pensate di questa vicenda? Vi fidate dei sistemi di protezione di Windows? Fatecelo sapere nei commenti.
Articolo di Windows Blog Italia