{"id":30319,"date":"2025-12-03T10:12:44","date_gmt":"2025-12-03T08:12:44","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=30319"},"modified":"2025-12-03T10:12:44","modified_gmt":"2025-12-03T08:12:44","slug":"filefix-attack-windows-file-explorer","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/filefix-attack-windows-file-explorer\/30319\/","title":{"rendered":"FileFix: una nuova variante di ClickFix"},"content":{"rendered":"<p><a href=\"https:\/\/www.kaspersky.com\/blog\/what-is-clickfix\/53348\/\" target=\"_blank\" rel=\"noopener nofollow\">Abbiamo trattato la tecnica ClickFix<\/a> non molto tempo fa. Ora utenti malintenzionati hanno iniziato a implementare una nuova versione, soprannominata \u201cFileFix\u201d dai ricercatori. Il principio di base \u00e8 il medesimo: adottare tattiche di social engineering per indurre la vittima a eseguire involontariamente codice dannoso sul proprio dispositivo. La differenza tra ClickFix e FileFix \u00e8 essenzialmente nel punto in cui viene eseguito il comando.<\/p>\n<p>Con ClickFix, gli utenti malintenzionati convincono la vittima ad aprire la finestra di dialogo Esegui di Windows e a incollarvi un comando dannoso. Con FileFix, invece, manipolano la vittima facendole incollare un comando nella barra degli indirizzi di Esplora File. Dal punto di vista dell\u2019utente, sembra un\u2019azione innocua: la finestra Esplora file \u00e8 un elemento familiare, il che rende meno probabile immaginare che nasconda qualche pericolo. Di conseguenza, gli utenti che non hanno familiarit\u00e0 con questo particolare stratagemma sono molto pi\u00f9 inclini a cadere nel tranello di FileFix.<\/p>\n<h2>In che modo gli autori degli attacchi manipolano la vittima facendole eseguire codice<\/h2>\n<p>Simile a ClickFix, un attacco FileFix inizia quando un utente viene indirizzato, il pi\u00f9 delle volte tramite un\u2019e-mail di phishing, a una pagina che imita il sito Web di un servizio online legittimo. Questo falso sito visualizza un messaggio di errore che impedisce l\u2019accesso alle normali funzionalit\u00e0 del servizio. Per risolvere il problema, all\u2019utente viene richiesto di eseguire una serie di passaggi per un processo di \u201ccontrollo ambientale\u201d o \u201cdiagnostico\u201d.<\/p>\n<p>A tale scopo, all\u2019utente viene detto che deve eseguire un file specifico che, stando agli autori dell\u2019attacco, si trova gi\u00e0 nel computer della vittima o \u00e8 stato appena scaricato. L\u2019utente deve semplicemente copiare il percorso del file locale e incollarlo nella barra degli indirizzi di Esplora file in Windows. Il campo da cui viene richiesto di copiare la stringa mostra in effetti il percorso del file, motivo per cui l\u2019attacco \u00e8 denominato \u201cFileFix\u201d. All\u2019utente viene quindi richiesto di aprire Esplora file, premere [CTRL] + [L] per attivare la barra degli indirizzi, quindi incollare il \u201cpercorso del file\u201d tramite [CTRL] + [V] e infine premere [INVIO].<\/p>\n<p>Il trucco: la parte visibile del percorso \u00e8 costituita solo dalle ultime decine di caratteri di un comando molto pi\u00f9 lungo. Il percorso \u00e8 infatti preceduto da una stringa di spazi e, prima ancora, dall\u2019effettivo carico utile dannoso che gli autori dell\u2019attacco intendono eseguire. Gli spazi sono fondamentali per garantire che l\u2019utente non veda elementi sospetti dopo aver incollato il percorso. Poich\u00e9 la stringa completa \u00e8 notevolmente pi\u00f9 lunga dell\u2019area visibile della barra degli indirizzi, rimane visualizzato solo il percorso \u201csano\u201d del file. Il contenuto reale \u00e8 leggibile per intero solo incollandolo in un file di testo anzich\u00e9 nella casella degli indirizzi di Esplora file. In un <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/new-filefix-attack-uses-cache-smuggling-to-evade-security-software\/\" target=\"_blank\" rel=\"noopener nofollow\">articolo di Bleeping Computer<\/a> basato su una ricerca di Expel, \u00e8 stato trovato il comando effettivo per avviare uno script di PowerShell tramite conhost.exe.<\/p>\n<div id=\"attachment_30320\" style=\"width: 1610px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-30320\" class=\"size-full wp-image-30320\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2025\/12\/03101044\/filefix-attack-windows-file-explorer-3.jpg\" alt=\"Esempio di comando dannoso nascosto \" width=\"1600\" height=\"474\"><p id=\"caption-attachment-30320\" class=\"wp-caption-text\">L\u2019utente pensa di incollare il percorso di un file, ma si tratta invece di un comando che contiene uno script di PowerShell. <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/new-filefix-attack-uses-cache-smuggling-to-evade-security-software\/\" target=\"_blank\" rel=\"noopener nofollow\"> Fonte <\/a><\/p><\/div>\n<h2>Cosa succede dopo l\u2019esecuzione dello script dannoso<\/h2>\n<p>Uno script di PowerShell eseguito da un utente legittimo pu\u00f2 causare problemi in vari modi. Tutto dipende dai criteri di protezione aziendali in vigore, dai privilegi di quello specifico utente e dalla presenza di soluzioni di protezione nel suo computer. Nel <a href=\"https:\/\/expel.com\/blog\/cache-smuggling-when-a-picture-isnt-a-thousand-words\/\" target=\"_blank\" rel=\"noopener nofollow\">caso<\/a> menzionato in precedenza, l\u2019attacco ha usato una tecnica denominata \u201ccontrabbando della cache\u201d. Lo stesso sito Web falso da cui parte il trucco FileFix salva un file in formato JPEG nella cache del browser, che in realt\u00e0 contiene un archivio popolato da malware. Lo script dannoso estrae quindi il malware e lo esegue nel computer della vittima. Questo metodo consente di inviare al computer il carico utile dannoso finale senza palesi download di file o richieste di rete, il che lo rende particolarmente insidioso.<\/p>\n<h2>Come difendere l\u2019azienda dagli attacchi ClickFix e FileFix<\/h2>\n<p>Nel post sulla tecnica di attacco ClickFix, abbiamo suggerito che la difesa pi\u00f9 semplice \u00e8 bloccare la combinazione di tasti [Win] + [R] nei dispositivi di lavoro. \u00c8 estremamente raro che un tipico impiegato d\u2019ufficio abbia bisogno di aprire la finestra di dialogo Esegui. Nel caso di FileFix la situazione \u00e8 un po\u2019 pi\u00f9 complessa: copiare un comando nella barra degli indirizzi \u00e8 un comportamento perfettamente normale.<\/p>\n<p>In genere, il blocco della scorciatoia [CTRL] + [L] non \u00e8 desiderabile per due motivi. In primo luogo, questa combinazione \u00e8 comunemente usata in varie applicazioni per scopi diversi e legittimi. In secondo luogo, non sarebbe di alcun aiuto, poich\u00e9 gli utenti possono comunque accedere alla barra degli indirizzi di Esplora File semplicemente facendo clic con il mouse. Gli utenti malintenzionati spesso forniscono alle vittime istruzioni alternative se la scorciatoia da tastiera non dovesse funzionare.<\/p>\n<p>Pertanto, per una difesa veramente efficace contro ClickFix, FileFix e schemi simili, \u00e8 consigliabile distribuire prima di tutto una <a href=\"https:\/\/www.kaspersky.it\/next?icid=it_kdailyplacehold_acq_ona_smm__onl_b2b_kdaily_prodmen_sm-team___knext___\" target=\"_blank\" rel=\"noopener\">soluzione di protezione affidabile<\/a> su tutti i dispositivi di lavoro in grado di rilevare e bloccare in tempo l\u2019esecuzione di codice dannoso.<\/p>\n<p>In secondo luogo, \u00e8 consigliabile sensibilizzare regolarmente i dipendenti sulle moderne cyberminacce, in particolare sui metodi di social engineering usati negli scenari ClickFix e FileFix. <a href=\"https:\/\/k-asap.com\/it\/?icid=it_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">Kaspersky Automated Security Awareness Platform<\/a> pu\u00f2 aiutare ad automatizzare la formazione dei dipendenti.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kasap\">\n","protected":false},"excerpt":{"rendered":"<p>Utenti malintenzionati hanno iniziato a usare una nuova variante della tecnica ClickFix denominata &#8220;FileFix&#8221;. Spieghiamo come funziona e come difendere l&#8217;azienda da questo attacco.<\/p>\n","protected":false},"author":2726,"featured_media":30321,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955,2956],"tags":[3812,142,3907,3908,638,2073,23],"class_list":{"0":"post-30319","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-azienda","11":"tag-browser","12":"tag-clickfix","13":"tag-filefix","14":"tag-minacce","15":"tag-social-engineering","16":"tag-windows"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/filefix-attack-windows-file-explorer\/30319\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/filefix-attack-windows-file-explorer\/29814\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/filefix-attack-windows-file-explorer\/24884\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/filefix-attack-windows-file-explorer\/13034\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/filefix-attack-windows-file-explorer\/29701\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/filefix-attack-windows-file-explorer\/28791\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/filefix-attack-windows-file-explorer\/31673\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/filefix-attack-windows-file-explorer\/40857\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/filefix-attack-windows-file-explorer\/14081\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/filefix-attack-windows-file-explorer\/54752\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/filefix-attack-windows-file-explorer\/23419\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/filefix-attack-windows-file-explorer\/32969\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/filefix-attack-windows-file-explorer\/29938\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/filefix-attack-windows-file-explorer\/35648\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/filefix-attack-windows-file-explorer\/35276\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/social-engineering\/","name":"social engineering"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30319","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=30319"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30319\/revisions"}],"predecessor-version":[{"id":30322,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30319\/revisions\/30322"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/30321"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=30319"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=30319"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=30319"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}