Negli ultimi giorni sono state individuate nuove varianti degli attacchi ClickFix, una famiglia di campagne che sfruttano l’ingegneria sociale per convincere gli utenti a eseguire comandi pericolosi, con l’obiettivo di rubare dati personali, password e criptovalute.

Questi attacchi non puntano solo sulle vulnerabilità tecniche, ma soprattutto sugli errori umani: finestre ingannevoli, guide fasulle e istruzioni apparentemente legittime vengono usate per spingere l’utente a eseguire comandi nel terminale o nel browser, aprendo così la porta ai malware.

Cosa sono gli attacchi ClickFix

ClickFix è il nome assegnato a una serie di campagne malevole che guidano passo passo le vittime verso l’esecuzione di script o comandi pericolosi, presentati come soluzioni a problemi tecnici (errori di sistema, ottimizzazioni, presunti bug da sfruttare a proprio vantaggio).

Una volta seguite le istruzioni, l’utente finisce per avviare codice controllato dai cybercriminali, che può scaricare malware aggiuntivi, attivare accessi remoti, intercettare traffico, rubare credenziali e svuotare wallet di criptovalute.

Prima variante: script PowerShell via DNS

In una delle nuove campagne ClickFix, scoperta da ricercatori Microsoft, gli attaccanti sfruttano le query DNS per distribuire il payload: la vittima viene istruita a eseguire un comando nslookup che contatta un server DNS controllato dai criminali.

Da questo server viene scaricato uno script PowerShell che, una volta eseguito, scarica altri componenti malevoli, tra cui un eseguibile Python che raccoglie informazioni sul dispositivo e imposta la persistenza del malware.

In fase finale viene installato ModeloRAT, un trojan di accesso remoto che permette ai criminali di controllare il sistema, sottrarre dati e muoversi lateralmente nella rete.

Seconda variante: JavaScript da commenti su Pastebin

Un’altra variante sfrutta commenti pubblicati su Pastebin, dove i criminali pubblicizzano un presunto exploit per il servizio di scambio criptovalute Swapzone.io che promette guadagni elevatissimi in pochi giorni.

Il link nei commenti porta a un documento su Google Docs, spacciato per guida tecnica. Le istruzioni invitano l’utente a visitare Swapzone.io, caricare un nodo Bitcoin e incollare un codice JavaScript nella barra degli indirizzi del browser.

Lo script, una volta eseguito, modifica la pagina del servizio, altera il processo di swap e mostra un tasso di cambio falsato, apparentemente vantaggioso. In realtà il codice cambia l’indirizzo del wallet: le criptovalute vengono inviate direttamente ai criminali anziché all’utente.

Terza variante: Google Ads e guide fasulle con AI

La terza variante di ClickFix utilizza Google Ads e contenuti generati con strumenti di intelligenza artificiale come Claude Artifacts, pubblicati su piattaforme quali Medium.

Quando l’utente cerca su Google una guida (ad esempio su come ottimizzare lo spazio su Mac), tra i risultati compaiono link sponsorizzati che puntano a queste guide apparentemente legittime e dettagliate.

All’interno degli articoli vengono suggeriti comandi da eseguire nel terminale di macOS: invece di ottimizzare il sistema, tali comandi scaricano e avviano l’infostealer MacSync, che ruba password, dati dai browser e credenziali dei wallet di criptovalute.

Perché ClickFix è così pericoloso per aziende e utenti

• Sfrutta la fiducia: si presenta come guida tecnica, soluzione a problemi o occasione di guadagno.
• Bypassa molti controlli: l’esecuzione parte da azioni manuali dell’utente, spesso considerate legittime.
• Colpisce dati critici: password, wallet, account cloud, strumenti di lavoro remoto.
• È multipiattaforma: coinvolge Windows, macOS, browser, servizi online e criptovalute.

In ambito aziendale questo tipo di attacco può portare al furto di credenziali di accesso a servizi critici (VPN, posta, gestionali, CRM), con impatti diretti su sicurezza, continuità operativa e reputazione.

Come difendersi dagli attacchi ClickFix

• Diffidare di guide che chiedono di eseguire comandi complessi nel terminale o nel prompt dei comandi se non provengono da fonti verificate.
• Non incollare mai codice JavaScript nella barra degli indirizzi del browser su istruzione di siti o documenti sconosciuti.
• Prestare attenzione ai link sponsorizzati e verificare sempre l’URL reale del sito prima di seguirne le istruzioni.
• Mantenere aggiornati sistema operativo, browser, antivirus e soluzioni di sicurezza endpoint.
• Abilitare l’autenticazione a più fattori (MFA) sugli account critici, per ridurre l’impatto del furto di password.
• Formare periodicamente il personale sui rischi di ingegneria sociale e sulle tecniche di attacco emergenti.

Come può aiutarti Kibit Informatica

Kibit Informatica supporta aziende e professionisti nella definizione di strategie efficaci di sicurezza informatica per contrastare minacce come ClickFix e gli attacchi basati su ingegneria sociale.

• Analisi dello stato di sicurezza di PC, server, rete e account cloud.
• Implementazione di soluzioni di protezione endpoint, antimalware e filtraggio della navigazione.
• Configurazione di policy di sicurezza, controlli di accesso e autenticazione forte.
• Attività di formazione e sensibilizzazione del personale sui rischi cyber.
• Piani di risposta agli incidenti per individuare, contenere e gestire eventuali compromissioni.

Contattaci per una consulenza sulla sicurezza informatica e per valutare le misure più adatte a proteggere la tua azienda da campagne come ClickFix.