Negli ultimi mesi, una nuova minaccia informatica sta prendendo piede tra gli utenti Windows: si chiama ClickFix, ed è una tecnica di ingegneria sociale che sfrutta la fiducia degli utenti nei confronti degli aggiornamenti di sistema. La trappola è semplice ma efficace: una schermata che sembra proprio l’aggiornamento di Windows appare sullo schermo, spesso in modalità browser a tutto schermo, e chiede di eseguire una serie di comandi per completare l’installazione. In realtà, si tratta di un inganno che può portare all’installazione di malware molto pericoloso.
Come funziona la trappola ClickFix
La campagna inizia quando l’utente visita un sito malevolo, spesso tramite phishing, annunci pubblicitari o link condivisi sui social. Una volta arrivato sulla pagina, il browser passa automaticamente alla modalità schermo intero e mostra una schermata che imita perfettamente quella di Windows Update, con tanto di animazioni e messaggi di aggiornamento in corso. A questo punto, viene richiesto di premere Win+R per aprire la finestra Esegui, incollare un comando con Ctrl+V e premere Invio.
Questo comando, apparentemente innocuo, avvia una catena di eventi che porta all’esecuzione di uno script PowerShell tramite mshta.exe. Lo script scarica un’immagine PNG, ma non è un’immagine qualsiasi: al suo interno, grazie alla steganografia, è nascosto il codice del malware. Una volta decodificato, il malware viene eseguito direttamente in memoria, senza lasciare tracce sul disco, rendendo difficile il rilevamento da parte dei software di sicurezza tradizionali.
Quali malware vengono diffusi
Tra i malware più diffusi tramite questa tecnica ci sono LummaC2 e Rhadamanthys, noti infostealer che rubano credenziali, dati sensibili e informazioni dai browser. In alcuni casi, invece, vengono distribuiti pacchetti di aggiornamento falsi che installano ransomware come Magniber, chiedendo un riscatto di circa 2500 dollari per ripristinare i file crittografati.
Come riconoscere e prevenire gli attacchi
La chiave per difendersi da ClickFix è la consapevolezza. Gli utenti devono imparare a riconoscere le trappole: nessun aggiornamento di Windows richiede di incollare comandi manualmente nella finestra Esegui. Inoltre, è importante non scaricare aggiornamenti da siti non ufficiali e diffidare di pagine che chiedono di eseguire comandi strani.
Per le aziende, è consigliabile disabilitare la finestra Esegui per gli utenti non amministratori tramite policy di gruppo o modifiche al registro di sistema. Inoltre, monitorare l’attività di explorer.exe che avvia mshta.exe o powershell.exe può aiutare a individuare tentativi di attacco in corso.
Cosa fare in caso di sospetto attacco
Se si sospetta di essere stati vittime di ClickFix, è fondamentale scollegare immediatamente il PC dalla rete e avviare una scansione approfondita con un antivirus aggiornato. Inoltre, controllare la chiave di registro RunMRU può fornire indizi sui comandi eseguiti e aiutare a capire l’entità del danno.
La minaccia ClickFix è in continua evoluzione, e la sua efficacia dipende soprattutto dalla capacità degli utenti di riconoscere le trappole. La formazione e la vigilanza restano le armi migliori per proteggersi da questi attacchi sempre più sofisticati.
