La campagna ClickFix torna al centro dell’attenzione nel panorama della cybersecurity per una nuova catena di infezione che sfrutta siti web legittimi compromessi come infrastruttura di distribuzione. L’obiettivo è consegnare un malware finora poco documentato chiamato MIMICRAT, noto anche come AstarionRAT, un remote access trojan progettato per garantire controllo remoto avanzato sui sistemi Windows. Questo tipo di attacco evidenzia un livello elevato di sofisticazione operativa, perché combina social engineering, tecniche di evasione e più fasi di esecuzione con componenti in memoria difficili da rilevare.

Il punto di ingresso può essere un servizio reale violato e modificato con codice JavaScript malevolo. Lo script carica risorse esterne, ad esempio un file PHP ospitato altrove, che mostra alla vittima una falsa pagina di verifica in stile Cloudflare. Il messaggio invita a copiare e incollare un comando nel dialogo Esegui di Windows, trasformando un gesto apparentemente innocuo in un’esecuzione volontaria di PowerShell. Questa esca ClickFix è particolarmente efficace perché imita flussi di sicurezza comuni e spinge l’utente a risolvere rapidamente un presunto blocco.

Una volta avviato, il comando PowerShell contatta un server di comando e controllo per scaricare uno script di seconda fase. Qui avvengono passaggi chiave per la difesa: vengono applicate modifiche per aggirare ETW, cioè il tracciamento eventi di Windows, e AMSI, l’interfaccia di scansione antimalware usata da molti antivirus per analizzare script e contenuti dinamici. Superati questi controlli, la catena rilascia un loader basato su Lua che decritta ed esegue shellcode direttamente in memoria, fino a installare MIMICRAT.

Il RAT è sviluppato in C++ e offre funzionalità di post-exploitation complete, tra cui impersonificazione di token Windows, accesso a shell interattiva, controllo di processi e file system, iniezione di shellcode e tunneling tramite SOCKS5. Le comunicazioni avvengono su HTTPS porta 443 con profili HTTP che possono ricordare traffico di web analytics, aumentando la probabilità di confondersi nel rumore di rete. La campagna risulta inoltre localizzata in molte lingue, adattando il contenuto in base alla lingua del browser per ampliare il raggio di attacco e colpire vittime in diverse aree geografiche. In alcuni casi, la finalità sospetta include esfiltrazione dati o distribuzione di ransomware tramite accesso persistente.