ClickFix è una campagna di attacchi informatici sempre più diffusi che sfrutta la psicologia e la buona fede delle persone. Attraverso messaggi ingannevoli, i criminali inducono le vittime a copiare e incollare istruzioni dannose, compromettendo così i dispositivi senza che la vittima se ne accorga. Le azioni chiave per difendersi sono: ignorare richieste sospette di copiare codice, verificare sempre la fonte dei messaggi e aggiornare costantemente antivirus e sistemi operativi.
ClickFix: il volto moderno dell’ingegneria sociale
La sicurezza digitale è spesso associata a virus, malware e vulnerabilità tecniche, ma negli ultimi mesi è emerso uno scenario ancor più insidioso: il ritorno dell’ingegneria sociale sotto forma di attacco “ClickFix”. Questa nuova minaccia si sta rapidamente diffondendo tra aziende, enti pubblici, organizzazioni sanitarie e semplici utenti, sfruttando una combinazione di astuzia, strumenti legittimi e piattaforme di uso quotidiano.
Il suo punto di forza? Convincere la vittima a collaborare inconsapevolmente nella compromissione del proprio dispositivo. Vediamo come funziona questa tecnica, quali sono i settori più esposti, e i consigli pratici per difendersi.
Cos’è un attacco ClickFix
L’attacco ClickFix nasce dall’unione di social engineering e abuso di strumenti comuni, come il terminale di sistema (Windows Powershell, il prompt dei comandi o il terminale macOS). Gli aggressori sfruttano email, messaggi sui social, pagine web o annunci pubblicitari per mostrare avvisi di errore o problemi fittizi, spesso mascherati da servizi famosi come Booking.com, Google Meet o portali istituzionali.
L’utente riceve dunque un messaggio allarmante: “Si è verificato un problema di sicurezza”; oppure “Esegui questa semplice operazione per risolvere un errore del sistema”. Questi messaggi chiedono di copiare e incollare un comando all’apparenza innocuo all’interno del proprio terminale o in uno spazio indicato (Windows Run, Terminal, ecc.).
Ma dietro le quinte, il codice che la vittima sta per eseguire è offuscato e dannoso: può installare malware, rubare dati, aprire porte di accesso remoto e molto altro.
Il funzionamento in dettaglio
Un attacco ClickFix segue generalmente questi passaggi:
- Invio di un messaggio ingannevole: avviso di errore tecnico, richiesta urgente di aggiornamento, o comunicazioni che sembrano provenire da servizi affidabili.
- Redirezione a pagine web sofisticate: queste pagine spesso imitano servizi reali, includendo (falsi) controlli di sicurezza come reCAPTCHA o verifiche di autenticità.
- Istruzioni dettagliate: viene richiesto di copiare un comando testuale e incollarlo nel terminale (ad esempio PowerShell per Windows, Terminal per macOS o prompt dei comandi Linux). Talvolta il sito riconosce il sistema operativo e propone la procedura specifica.
- Compromissione del dispositivo: il codice eseguito può scaricare e installare malware come PureRAT, LummaStealer, NetSupport (un software di accesso remoto legittimo usato però per scopi malevoli) o infostealer progettati per carpire credenziali bancarie e dati sensibili.
- Evoluzione della tecnica: negli ultimi mesi, gli attacchi ClickFix si sono affinati adottando timer, videoguide, istruzioni personalizzate e persino meccanismi per copiare automaticamente il codice malevolo negli appunti della vittima (clipboard hijacking).
Perché ClickFix ha tanto successo
L’attacco non sfrutta solo vulnerabilità tecniche, ma soprattutto la fiducia e la scarsa consapevolezza dell’utente. Aspetti cruciali:
- Sfrutta la fretta o la paura di “perdere dati” o “rischiare blocchi” del servizio.
- Fa leva sull’automatismo del copiare e incollare istruzioni senza comprenderle.
- Si adatta al sistema operativo della vittima, aumentando il realismo.
- Aggira molti antivirus poiché il codice viene eseguito direttamente dall’utente e spesso è “fileless”: non lascia tracce evidenti sull’hard disk.
Settori e categorie più colpite
Gli attacchi ClickFix non risparmiano nessuno, ma alcune categorie risultano particolarmente esposte:
- Settore alberghiero e turismo: grandi catene e piccoli hotel sono presi di mira da campagne che simulano messaggi di Booking.com o Expedia, con l’obiettivo di sottrarre credenziali di accesso alle piattaforme gestione prenotazioni.
- Pubblica amministrazione e sanità: numerosi enti locali e strutture sanitarie hanno rilevato tentativi di intrusione tramite email che simulano richieste urgenti da provider IT o fornitori di servizi.
- Settore finanziario e assicurativo: sono noti attacchi che puntano a rubare dati bancari e credenziali di gestione conti, travestendosi da comunicazioni ufficiali.
- Piccole e medie imprese: spesso più vulnerabili per carenza di formazione interna e procedure di verifica.
- Utenti domestici: vittime di messaggi ingannevoli, popup di finto supporto tecnico o email che simulano grandi marchi IT.
Nell’ultimo anno sono state anche rilevate campagne ClickFix riconducibili a gruppi di cybercriminali internazionali e, in alcuni casi, ad attori sponsorizzati da Stati.
Tipologie di malware e minacce distribuite
Le principali “famiglie” di software dannoso veicolate dagli attacchi ClickFix includono:
- Remote Access Trojan (RAT): forniscono controllo remoto completo al criminale (ad es. PureRAT, NetSupport, AsyncRAT).
- Infostealer: programmi per il furto di dati, come credenziali bancarie, password salvate e cookie di autenticazione.
- Loader e dropper: software che scaricano altri malware sul sistema, rendendo l’attacco modulare e difficile da intercettare.
- Rootkit: consente agli aggressori di mantenere il controllo a lungo termine, nascondendo le proprie tracce.
- Script PowerShell e Bash: sfruttano strumenti amministrativi nativi per evitare rilevamento.
Alcuni di questi malware utilizzano tecniche avanzate per la persistenza (modifica del registro di sistema, carico all’avvio) e per offuscare il reale funzionamento, complicando il lavoro dei team di sicurezza.
I nuovi sviluppi delle campagne ClickFix
Dopo una prima diffusione nel 2024, la tecnica ClickFix si è evoluta rapidamente:
- Vengono sfruttate piattaforme video e guide animate per rendere l’operazione più credibile e “a prova di errore”.
- Alcuni attacchi usano timer per aggiungere senso d’urgenza.
- Le istruzioni sono personalizzate in base al sistema rilevato (Windows/macOS/Linux), aumentando l’efficacia.
- Maggiore automazione e tecniche di clipboard hijacking: il comando malevolo può essere copiato automaticamente negli appunti appena si entra nella pagina infetta.
- Gli attori malevoli si scambiano informazioni sulle vittime ideali tramite forum criminali, includendo reward economici per chi riesce a “bucare” grandi aziende o amministratori di sistemi.
Cinque regole d’oro per difendersi subito
Ecco cosa puoi fare ora per proteggere te stesso e l’azienda:
- Non fidarti mai di messaggi che chiedono di copiare/collare codice nel terminale, specialmente se arrivano da email sospette o popup del browser.
- Verifica sempre l’identità del mittente, anche chiamando direttamente un referente ufficiale.
- Non cliccare link o allegati che promettono soluzioni rapide a problemi informatici.
- Aggiorna regolarmente antivirus, browser e sistema operativo.
- Chiedi consulenza all’IT o ad esperti se ricevi istruzioni anomale o sospette.
Difendersi in modo avanzato: consigli per aziende e utenti esperti
Per chi desidera rafforzare ulteriormente la difesa, ecco strategie e tecniche da adottare:
- Formazione continua del personale: organizza workshop periodici sulle nuove minacce di social engineering, simulando veri attacchi ClickFix per sensibilizzare anche gli utenti più esperti.
- Implementare filtri antiphishing e monitoraggio attivo: usa soluzioni avanzate di email gateway e proxy web che identifichino pagine sospette o comportamenti anomali.
- Politiche di hardening dei sistemi: limita l’uso di PowerShell, registry e strumenti amministrativi solo agli utenti che ne hanno necessità. Abilita logging dettagliato e notifiche alle prime esecuzioni sospette.
- Soluzioni EDR (Endpoint Detection & Response): impiega tecnologie che analizzano i comportamenti su endpoint e isolano tentativi anomali di esecuzione script.
- Backup e piani di risposta: assicurati sempre che i dati critici siano protetti da backup frequenti e testati. Prevedi un piano di risposta rapido in caso di compromissione.
Ultimo ma non meno importante: mantieni sempre il fattore umano al centro della sicurezza. Nessun software può sostituire la consapevolezza, la prudenza e l’attenzione nell’uso quotidiano degli strumenti digitali.
