Negli ultimi mesi si è registrato un aumento impressionante delle campagne di attacco basate sulla tecnica ClickFix, con una crescita del 517% tra la seconda metà del 2024 e la prima metà del 2025. Questa metodologia di social engineering sfrutta finti controlli CAPTCHA o messaggi di errore per spingere le vittime a copiare e incollare script dannosi direttamente nel prompt di esecuzione di Windows o nel Terminale di macOS. Questi attacchi sono particolarmente insidiosi poiché portano a infezioni con infostealer, ransomware, trojan di accesso remoto, cryptominer e malware personalizzati, spesso sviluppati da gruppi sponsorizzati da stati-nazione.

Le rilevazioni più elevate di ClickFix sono state individuate soprattutto in Giappone, Perù, Polonia, Spagna e Slovacchia. La popolarità e l’efficacia di questa tecnica hanno portato alla nascita di servizi e builder che consentono anche ad altri cyber criminali di creare landing page pronte all’uso, già predisposte per sfruttare ClickFix e diffondere malware in modo automatizzato.

FileFix: una nuova variante di attacco

Parallelamente a questa evoluzione, è stato presentato FileFix, una nuova variante che sfrutta le funzionalità di Windows File Explorer. Invece di chiedere alla vittima di incollare uno script nel prompt, la pagina di phishing invita l’utente a copiare un percorso di file nella barra degli indirizzi di Esplora Risorse, sfruttando la capacità di quest’ultima di eseguire comandi di sistema. Cliccando su un pulsante apparentemente innocuo, viene aperto Esplora Risorse e copiato negli appunti un comando PowerShell malevolo. Quando la vittima incolla il percorso del file, in realtà viene eseguito il comando infetto, reso invisibile grazie a spazi e commenti che mascherano il payload.

Sofisticazione delle campagne phishing

A questo scenario si aggiungono nuove campagne phishing che adottano strategie sempre più sofisticate: dall’uso di domini .gov per inviare email fraudolente, alle tecniche di domain aging per eludere i controlli di sicurezza, fino alla distribuzione di archivi ZIP e LNK che veicolano malware come Remcos RAT e XWorm. Altre campagne sfruttano piattaforme legittime come Vercel o SharePoint per ospitare pagine dannose, rendendo difficile per i sistemi di sicurezza automatizzati individuare queste minacce. La combinazione di tecniche di social engineering avanzato e l’uso di infrastrutture affidabili come Microsoft SharePoint rende le campagne sempre più credibili e difficili da rilevare per utenti e antivirus.