Preventivo sconto multi-licenza
Database delle minacce Strumenti di amministrazione remota Interlock RAT

Interlock RAT

Entro Mezo nel Strumenti di amministrazione remota, Minaccia persistente avanzata (APT), Riscatto
Traduci in:

I criminali informatici dietro l'operazione ransomware Interlock stanno intensificando i loro attacchi con una nuova variante PHP del loro trojan di accesso remoto (RAT) personalizzato, Interlock RAT, noto anche come NodeSnake. Questa minaccia potenziata è stata osservata in una campagna diffusa che utilizza un meccanismo di distribuzione evoluto denominato FileFix, una variante della tecnica ClickFix precedentemente nota. Questo sviluppo segna un cambiamento significativo nella strategia di attacco del gruppo, espandendone la portata e dimostrando una crescente sofisticatezza tecnica.

Ingresso furtivo: iniezione di script e reindirizzamento del traffico

La campagna, attiva da maggio 2025, inizia con l'iniezione di siti web compromessi con uno snippet JavaScript apparentemente innocuo, nascosto nel codice HTML. Questo script funziona come un sistema di distribuzione del traffico (TDS), utilizzando un filtro basato su IP per reindirizzare i visitatori mirati a pagine di verifica CAPTCHA false. Queste pagine fraudolente si affidano a esche basate su ClickFix per indurre gli utenti a eseguire script PowerShell dannosi. Il risultato è l'installazione di Interlock RAT, che garantisce agli aggressori un punto d'appoggio nel sistema della vittima.

FileFix: un’innovazione nella consegna armata

Le ultime campagne osservate a giugno 2025 mostrano l'utilizzo di FileFix, una versione più avanzata di ClickFix, come principale vettore di infezione. FileFix sfrutta la barra degli indirizzi di Esplora file di Windows per indurre gli utenti a eseguire comandi dannosi tramite tecniche di ingegneria sociale. Originariamente dimostrato come proof-of-concept a giugno 2025, FileFix è ora operativo per distribuire la variante PHP di Interlock RAT e, in alcuni casi, questa distribuzione funge da precursore all'installazione della variante più tradizionale basata su Node.js.

Carichi utili multistadio e capacità stealth

Una volta implementato, Interlock RAT avvia la ricognizione dell'host e l'esfiltrazione delle informazioni di sistema in formato JSON. Verifica i livelli di privilegio (UTENTE, ADMIN o SISTEMA) e stabilisce un contatto con un server remoto di comando e controllo (C2). Vengono inoltre recuperati payload aggiuntivi, file EXE o DLL, per l'esecuzione.

  • I meccanismi di persistenza includono:
  • Modifica del Registro di sistema di Windows per mantenere l'esecuzione all'avvio.
  • Abilitazione dello spostamento laterale tramite accesso Remote Desktop Protocol (RDP).

Inoltre, una tecnica di elusione degna di nota prevede l'utilizzo di sottodomini di Cloudflare Tunnel, che mascherano la posizione effettiva del server C2. Gli indirizzi IP hard-coded fungono da backup per mantenere la connettività in caso di interruzione dei tunnel.

Tracciare la minaccia: obiettivi passati e motivazioni presenti

All'inizio del 2025, Interlock RAT è stato coinvolto in attacchi contro enti governativi locali e istituti scolastici nel Regno Unito, sfruttando la variante Node.js. Tuttavia, il recente passaggio a PHP, un linguaggio di sviluppo web diffuso, suggerisce un approccio più opportunistico, mirato a una gamma più ampia di settori. Il passaggio a PHP indica una decisione tattica volta ad ampliare i vettori di infezione, sfruttando potenzialmente infrastrutture web vulnerabili.

Indicatori chiave della campagna

Le vittime e gli operatori della sicurezza informatica dovrebbero prestare attenzione ai seguenti tratti distintivi delle ultime operazioni di Interlock:

Vettore di attacco iniziale:

  • Iniezioni di codice JavaScript su singola riga in siti web legittimi ma compromessi.
  • Reindirizzamento a pagine CAPTCHA false tramite filtraggio IP.

Comportamento del malware dopo l'infezione:

  • Ricognizione dell'host ed esfiltrazione delle informazioni di sistema in formato JSON.
  • Controlli dei privilegi ed esecuzione remota del payload.
  • Persistenza basata sul registro e sfruttamento RDP per lo spostamento.

Conclusione: il crescente profilo di minaccia di Interlock Group

L'emergere della variante PHP di Interlock RAT dimostra la crescente versatilità del gruppo e la sua intenzione di anticipare le contromisure difensive. Sfruttando sia il web scripting che le funzionalità native del sistema, gli aggressori di Interlock stanno sfumando i confini tra la distribuzione tradizionale di malware e l'abuso creativo delle funzionalità di sistema quotidiane. I team di sicurezza dovrebbero rimanere vigili e implementare difese a più livelli per rilevare e bloccare queste minacce in continua evoluzione.

Tendenza

I più visti

Caricamento in corso...