ClickFix è una campagna che convince le vittime a eseguire manualmente comandi malevoli, ingannandole con un problema inesistente.
Negli ultimi anni gli attacchi informatici hanno cercato sempre nuove scorciatoie per entrare nelle reti aziendali. Alcuni sfruttano vulnerabilità software, altri puntano sugli allegati malevoli o sui link di phishing. Ma la campagna oggetto della nostra indagine segue una strada completamente diversa. Non cerca di forzare il sistema, ma convince l’utente a eseguire da solo il comando che avvia l’infezione. Il suo nome? ClickFix.
Immaginiamo una pagina web che mostra un errore, una verifica CAPTCHA o un messaggio che invita a correggere un problema del browser. L’utente riceve istruzioni precise: aprire la finestra di esecuzione di Windows, incollare un comando copiato automaticamente negli appunti e premere invio. Da questo momento in poi, il computer esegue codice scaricato da server controllati dall’attaccante.
Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.
Cos’è ClicFix
Come anticipato in fase di introduzione, ClickFix è una tecnica di compromissione iniziale basata su social engineering. L’obiettivo non è sfruttare una vulnerabilità del sistema, ma indurre la vittima a eseguire volontariamente un comando che scarica ed esegue il malware. In questo modo l’attacco aggira molti dei controlli di sicurezza che si concentrano sugli allegati malevoli o sugli exploit del browser.
Le prime campagne documentate sono state osservate nella primavera del 2024. Diversi report di sicurezza hanno collegato le operazioni iniziali all’initial access broker TA571, un gruppo già noto per campagne di phishing su larga scala. In queste operazioni, gli attaccanti utilizzavano pagine HTML che imitavano documenti Word o portali cloud e che spingevano l’utente a eseguire manualmente un comando PowerShell per correggere un inesistente errore di visualizzazione.
A cavallo tra il 2024 e il 2025 la tecnica si è evoluta rapidamente. Le pagine di attacco hanno iniziato a imitare servizi diffusi come Cloudflare CAPTCHA, Google Meet, Microsoft 365 o portali di autenticazione aziendale. Il principio alla base, però, non è cambiato e in questo modo l’utente ha molte più ragioni per cadere nella trappola di un problema che non esiste, con la soluzione a portata di mano.
Come funziona un attacco basato su ClickFix
Per comprendere l’efficacia di questa minaccia, procederemo a una simulazione di attacco, che riproduce uno scenario simile a quanto osservato tra il 2024 e il 2025.
Il vettore iniziale
L’attacco inizia quasi sempre con una e-mail di phishing o con un link condiviso attraverso una piattaforma di collaborazione. Il messaggio parla di una fattura, di un documento condiviso o di una riunione online. Il collegamento porta a una pagina che imita servizi molto diffusi: portali Microsoft 365, schermate Google Meet, pagine di autenticazione o documenti cloud.
La vittima non vede nulla di particolarmente sospetto. Il sito appare coerente con il contesto del messaggio ricevuto e spesso utilizza grafica, loghi e layout copiati dai servizi originali.
Il falso errore
Una volta aperta la pagina, compare un messaggio che segnala un problema tecnico. Può trattarsi di un errore del browser, di un documento che non si carica correttamente oppure di una verifica CAPTCHA che non riesce a completarsi. La pagina propone quindi una soluzione semplice: seguire una breve procedura manuale per correggere l’errore e proseguire con l’accesso al contenuto.
Clipboard hijacking
Quando l’utente clicca sul pulsante di verifica o sul link di assistenza, uno script presente nella pagina copia automaticamente negli appunti una riga di comando. Il codice non viene mostrato chiaramente all’utente oppure viene presentato come una sequenza tecnica necessaria per risolvere il problema. Questi, tuttavia, non si accorge che la clipboard è stata modificata. L’unica cosa che vede sono le istruzioni operative da seguire.
Esecuzione del comando malevolo
A questo punto la pagina mostra le istruzioni finali:
- premere Win + R per aprire un terminale PowerShell di Windows;
- incollare il contenuto degli appunti con Ctrl + V;
- premere Invio.
Una volta eseguito il comando, il sistema scarica uno script da un server controllato dall’attaccante.
Installazione del malware
Il codice eseguito sul sistema scarica il payload vero e proprio. In molte campagne si tratta di infostealer progettati per rubare cookie di sessione, credenziali salvate nel browser e portafogli di criptovalute. In altri casi viene installato un Remote Access Trojan che consente all’attaccante di mantenere accesso persistente al computer.
Da questo momento il sistema compromesso si trasforma nel punto di partenza per ulteriori attività, come esfiltrazione di dati, movimento laterale nella rete aziendale o distribuzione di ulteriori malware.
I malware più diffusi nelle campagne ClickFix
Una delle ragioni per cui ClickFix si è diffusa così rapidamente è la sua flessibilità. Non essengo legata a un malware specifico, questa funziona come porta di ingresso che può consegnare payload diversi a seconda della campagna e degli obiettivi dell’attaccante.
Tra i malware più diffusi, ci sono gli infostealer, progettati per sottrarre credenziali e sessioni attive dai browser. Uno dei più ricorrenti è Lumma Stealer, molto utilizzato per il furto di cookie, password salvate e portafogli di criptovalute. Una volta installato, il malware raccoglie le informazioni presenti sul sistema e le invia a server controllati dall’infrastruttura criminale.
In altre campagne il payload finale è un Remote Access Trojan. Strumenti come NetSupport RAT o AsyncRAT permettono all’attaccante di controllare il computer da remoto, osservare l’attività dell’utente, scaricare file o eseguire ulteriori comandi. Questo tipo di accesso è spesso utilizzato come primo passo per attività più invasive all’interno della rete aziendale.
Non mancano poi i casi in cui ClickFix viene usato come vettore per loader e backdoor progettati per preparare l’ambiente a infezioni successive. In questi scenari il primo malware installato non è quello finale, ma serve a scaricare altri componenti o a stabilire persistenza nel sistema. È un modello operativo tipico delle operazioni di initial access broker, in cui l’accesso compromesso viene successivamente venduto ad altri gruppi criminali.
Come difendersi dagli attacchi ClickFix
- Diffidare di qualsiasi sito che chieda di eseguire comandi manuali sul computer.
Nessun servizio legittimo richiede di aprire la finestra Run, incollare codice o eseguire comandi PowerShell per completare una verifica CAPTCHA o visualizzare un documento. - Limitare l’uso di strumenti di esecuzione sui sistemi che non ne hanno bisogno.
Su molte postazioni aziendali l’accesso a PowerShell, script host o comandi amministrativi può essere ridotto o controllato tramite criteri di sicurezza. - Rafforzare i controlli sulle email e sui link ricevuti.
Gran parte delle campagne ClickFix parte da messaggi di phishing che portano a pagine web malevole. Filtri antiphishing efficaci e sistemi di analisi dei link possono ridurre significativamente il rischio. - Monitorare l’esecuzione anomala di shell di sistema.
Processi come powershell.exe, cmd.exe o mshta.exe avviati da explorer.exe subito dopo l’uso della finestra Run possono indicare che un utente ha eseguito manualmente un comando sospetto. - Addestrare gli utenti a riconoscere le trappole di social engineering.
ClickFix funziona perché sfrutta la fiducia dell’utente davanti a un problema apparentemente banale. Una formazione mirata può aiutare a riconoscere questo tipo di scenari prima che sia troppo tardi.
In conclusione
ClickFix ci dimostra quanto possa essere efficace un attacco che sfrutta il comportamento umano invece di una vulnerabilità tecnica. L’infrastruttura dell’attacco è relativamente semplice, ma la sequenza psicologica che porta la vittima a eseguire il comando rende la tecnica estremamente difficile da bloccare con i soli strumenti automatici.
Nei contesti aziendali questo significa che la sicurezza non può limitarsi a firewall, antivirus e sistemi di rilevamento. Se un utente esegue volontariamente il comando che avvia l’infezione, il sistema vede semplicemente un’operazione legittima. La difesa deve essere una combinazione di controlli tecnici, monitoraggio dei comportamenti anomali e consapevolezza degli utenti. Perché ClickFix ci ricorda ancora una volta che l’anello più fragile della catena non è il software, ma la fiducia con cui utilizziamo gli strumenti ogni giorno.
- Autore articolo
- Gli ultimi articoli
Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.