La campagna malware nota come ClickFix rappresenta una delle più evolute minacce di social engineering emerse di recente nel panorama della sicurezza informatica. Questo attacco, identificato per la prima volta nel 2024, ha rapidamente soppiantato precedenti truffe come ClearFake grazie a tecniche di propagazione raffinate e all’uso di strumenti di evasione sofisticati. ClickFix si distingue per la capacità di indurre gli utenti a infettare i propri dispositivi, spesso attraverso la simulazione di problemi inesistenti o la richiesta di una verifica CAPTCHA apparentemente legittima.

Gli attaccanti sfruttano vettori di infezione diversificati come email di phishing, drive-by download, malvertising e campagne SEO malevole che indirizzano le vittime su pagine contraffatte. Qui vengono mostrati messaggi di errore che guidano l’utente a seguire istruzioni trappola: tipicamente, si invita a copiare e incollare un comando malevolo nella finestra di esecuzione di Windows o nel terminale di macOS. Questo comando, apparentemente innocuo, attiva una catena di infezioni multi-stage che può installare stealer, trojan di accesso remoto o altri tipi di malware, rendendo ClickFix estremamente flessibile e pericoloso.

Elementi chiave dell’efficacia di ClickFix

Uno degli elementi chiave dell’efficacia di ClickFix risiede nella sua capacità di evolvere costantemente. Gli attacchi hanno iniziato a utilizzare Google Scripts per ospitare flussi CAPTCHA falsi, facendo leva sulla fiducia nei confronti dei domini Google, e a nascondere i payload in file che imitano risorse legittime come socket.io.min.js. L’uso di tecniche di offuscamento, caricamenti dinamici, file apparentemente autentici e la distribuzione cross-platform consente agli attaccanti di eludere molti sistemi di rilevamento tradizionali.

La pressione psicologica gioca un ruolo essenziale: i messaggi si sono fatti via via più persuasivi, sfruttando urgenza e richiami alla sospensione delle attività per spingere le vittime a seguire le istruzioni senza riflettere. Questo ha portato a un netto incremento delle infezioni, sia tramite attacchi di massa che con campagne di spear-phishing mirate, coinvolgendo anche attori sponsorizzati da stati nazionali.

Evoluzione rispetto a ClearFake e tecniche avanzate

ClickFix rappresenta un’evoluzione rispetto a ClearFake, che veicolava falsi aggiornamenti browser tramite siti WordPress compromessi, e incorpora anche tecniche avanzate come EtherHiding per occultare i payload attraverso smart contract sulla blockchain. L’abilità degli attori malevoli di sfruttare infrastrutture affidabili, aggiornare costantemente le tecniche di attacco e investire in nuove strategie rende ClickFix una delle minacce più insidiose del momento in ambito malware e social engineering.