Argomenti
Servizi
Casa > ClickFix« - Chi ...
IT
IT DE FR EN

«ClickFix» - Se una presunta correzione o verifica di un errore installa un malware

Il BACS sta osservando un aumento delle segnalazioni del metodo di infezione «ClickFix». Gli utenti vengono indotti a inserire ed eseguire codice nocivo nella riga di comando del computer fingendo problemi tecnici. La truffa aggira abilmente le misure tecniche di sicurezza, in quanto le vittime autorizzano di fatto l'infezione del loro sistema.

Editoriale - 4 marzo 2026

 

Con il cosiddetto "click-fix", l'utente ignaro si auto-infligge il danno Foto: depositphotos/solarseven

Dietro il termine «ClickFix» si nasconde una sofisticata tattica di ingegneria sociale. Il nome «ClickFix» descrive una soluzione rapida a un problema tecnico («fix») che viene offerta con un semplice clic («click»). Gli aggressori manipolano siti Web legittimi ma scarsamente protetti o inseriscono annunci pubblicitari che conducono a pagine preparate. Non appena una persona visita la pagina, appare una finestra di overlay o pop-up dall'aspetto ingannevole e reale.

In base alle informazioni contenute in questa finestra, è presente un problema tecnico, come un aggiornamento fallito del browser, un errore DNS, un problema di visualizzazione del contenuto o, più frequentemente, la necessità di risolvere un presunto CAPTCHA. Per risolvere il problema, all'utente viene mostrato un pulsante.

Esempi di inserto «ClickFix». Foto: BACS

Dal browser alla riga di comando

Gli utenti non sanno che aprendo il sito web hanno già copiato negli appunti un comando «PowerShell» (per Windows) o un comando «Terminal» (per macOS) dannoso. La vittima viene quindi istruita a eseguire combinazioni di tasti poco appariscenti. Tuttavia, queste combinazioni di tasti sono piuttosto potenti. In questo modo, la console viene aperta e il codice precedentemente copiato negli appunti viene incollato. Premendo il tasto Invio, il comando viene immediatamente eseguito e viene caricato il codice dannoso.

Potenziale di danno

Non appena il comando viene eseguito, lo script tenta di stabilire una connessione con un server e di scaricare un programma dannoso. Mentre il download diretto di malware è spesso bloccato dai programmi antivirus, il comando per il download proviene ora direttamente dall'utente nel contesto delle sue autorizzazioni, in modo che molti meccanismi di sicurezza non diano l'allarme. Nella maggior parte dei casi viene scaricato il cosiddetto «Infostealer». Questo malware è specializzato nella lettura di password dai browser, nello svuotamento di portafogli di criptovalute o nel furto di cookie di sessione dai browser Internet, che gli aggressori possono utilizzare per accedere ad account (ad esempio e-mail o sistemi aziendali) senza password. Nelle reti aziendali, questo può anche essere il primo passo di un successivo attacco ransomware.

Metodo avanzato: «CrashFix»

Dall'inizio dell'anno sono state stabilite ulteriori procedure. Uno di questi metodi è noto come «CrashFix». Si tratta della distribuzione di estensioni del browser manipolate, camuffate da strumenti utili come gli ad blocker. Queste estensioni sono programmate in modo tale da causare intenzionalmente un crash del browser con un certo ritardo. Dopo il riavvio del browser, appare un messaggio che invita l'utente a «riparare» il presunto errore inserendo determinati comandi. In realtà, questi comandi consentono anche l'installazione di malware.

Raccomandazioni

  • Diffidate se i siti web affermano che il vostro browser deve essere aggiornato o che un errore può essere risolto solo eseguendo dei comandi. Gli aggiornamenti ufficiali del browser vengono eseguiti tramite le impostazioni interne del browser, mai tramite un sito web.
  • Non copiate mai codice o comandi da fonti sconosciute direttamente in «PowerShell», nel «Terminale» o nel prompt dei comandi.
  • Non installare programmi da fonti sconosciute.
  • Informate i dipendenti di questa specifica truffa. Sapere che un sito web non vi chiederà mai di inserire manualmente dei comandi nel sistema è la migliore protezione.
  • Negli ambienti aziendali, occorre verificare se l'esecuzione degli script «PowerShell» può essere limitata agli utenti normali.
  • Se siete stati vittime di un attacco di questo tipo, vi invitiamo a denunciare l'accaduto.

Fonte: BACS

(Visitato 88 volte, 1 visita oggi)

Altri articoli sull'argomento

Giornata mondiale del backup: perché oggi il ripristino è più importante del backup stesso

Meno attacchi informatici a febbraio, ma il rischio rimane alto

Phishing su LinkedIn: un obiettivo per chi cerca lavoro

NOTIZIE SULLA SICUREZZA

Rimanete informati sui temi attuali della sicurezza - pratici e affidabili. Ricevete contenuti esclusivi direttamente nella vostra casella di posta elettronica. Non perdetevi gli aggiornamenti.

Registrati ora!
accedere
È possibile annullare l'iscrizione in qualsiasi momento!
chiudere il link