Le campagne ClickFix stanno evolvendo rapidamente e oggi rappresentano una delle tecniche di social engineering più efficaci per ottenere accesso iniziale ai sistemi Windows. Il meccanismo di base resta semplice ma potente: una finta verifica CAPTCHA induce la vittima a copiare e incollare un comando nel box Esegui di Windows, trasformando un gesto apparentemente innocuo in esecuzione di codice malevolo.

Nelle varianti più recenti, gli attaccanti non avviano PowerShell in modo diretto. Al contrario sfruttano un componente Microsoft firmato e considerato affidabile, lo script SyncAppvPublishingServer.vbs legato ad App-V. Questo approccio rientra nella logica living off the land, perché usa strumenti già presenti nel sistema e quindi più difficili da bloccare senza impatti operativi. In pratica lo script funge da proxy e avvia wscript.exe per recuperare ed eseguire in memoria un loader da un server esterno, aggirando restrizioni e controlli che spesso si concentrano su powershell.exe.

Un dettaglio importante per la sicurezza aziendale è che App-V è disponibile soprattutto su edizioni Enterprise ed Education di Windows 10 e Windows 11 e su Windows Server. Se App-V non è presente o non è abilitato, la catena di esecuzione fallisce. Questo suggerisce che i bersagli principali siano ambienti enterprise gestiti, dove la superficie di attacco include componenti avanzati di sistema.

La catena malevola prosegue con tecniche di evasione: il loader esegue controlli anti-sandbox e poi scarica configurazioni da servizi web fidati. Un esempio critico è l’uso di un file calendario pubblico in formato ICS su Google Calendar come dead drop resolver, cioè un punto di appoggio per ottenere parametri e link a stadi successivi senza usare infrastrutture palesemente sospette. Successivamente vengono caricati altri stadi PowerShell in memoria, fino a recuperare un payload nascosto in un file PNG scaricato via WinINet. Il contenuto viene decrittato e decompresso in memoria e avviato con Invoke-Expression, arrivando infine a un loader che esegue Amatera Stealer, un malware progettato per rubare informazioni.

Questa evoluzione conferma un trend: l’abuso di servizi legittimi e workflow familiari rende la difesa più complessa, perché molte azioni sembrano normali e originate dall’utente.