Settimana 8: «ClickFix» – quando una presunta correzione o verifica degli errori installa un malware

24.02.2026 - Attualmente l’UFCS sta osservando un aumento delle segnalazioni del metodo di infezione noto come «ClickFix». Con il pretesto di risolvere problemi tecnici gli utenti vengono indotti a inserire ed eseguire un codice dannoso nella riga di comando del computer. La truffa aggira abilmente le misure tecniche di sicurezza, in quanto le vittime autorizzano di fatto l’infezione del loro sistema.

Dietro il termine «ClickFix» si nasconde una sofisticata tattica di social engineering. Il nome «ClickFix» descrive una soluzione rapida («fix») a un problema tecnico che viene offerta con un semplice clic («click»). I truffatori manipolano siti web legittimi ma scarsamente protetti o inseriscono pubblicità che conducono a pagine compromesse. Non appena una persona visita la pagina, appare una finestra di overlay o pop-up dall’aspetto ingannevolmente autentico.

La finestra mette in guardia da un problema tecnico, come un aggiornamento fallito del browser, un errore DNS, un problema di visualizzazione del contenuto o, più frequentemente, la necessità di risolvere un presunto CAPTCHA. Per risolvere il problema, all’utente viene mostrato un pulsante.

Gli utenti sono ignari del fatto che aprendo il sito web hanno già copiato negli appunti un comando «PowerShell» (per Windows) o un comando «Terminal» (per macOS) dannoso. La vittima viene quindi istruita a premere combinazioni di tasti apparentemente innocue, eppure particolari. Si apre così il terminale e si incolla il codice precedentemente copiato negli appunti. Premendo il tasto Invio, il comando viene eseguito immediatamente, caricando il codice dannoso.

Non appena il comando viene eseguito, lo script tenta di stabilire una connessione con un server e di scaricare un malware. Mentre il download diretto di malware viene spesso bloccato dai programmi antivirus, il comando per il download proviene ora direttamente dall’utente nel contesto delle sue autorizzazioni, cosicché molti meccanismi di sicurezza non danno l’allarme. Di solito si tratta di ricaricare un cosiddetto «Infostealer». Questo malware è specializzato nella lettura di password dai browser, nello svuotamento di portafogli di criptovalute o nel furto di cookie di sessione dai browser Internet, che gli aggressori possono utilizzare per accedere ad account (ad esempio, e-mail o sistemi aziendali) senza password. Nelle reti aziendali, questo può anche essere il primo passo verso un successivo attacco ransomware.

Dall’inizio dell’anno sono stati osservati anche altri metodi di attacco, tra cui il cosiddetto «CrashFix». Si tratta della distribuzione di estensioni del browser manipolate, camuffate da strumenti utili come i blocchi degli annunci. Queste estensioni sono programmate per causare intenzionalmente un crash del browser con un certo ritardo. Dopo il riavvio del browser, viene visualizzato un messaggio che invita l’utente a «riparare» il presunto errore immettendo determinati comandi. In realtà, anche in questo caso i comandi consentono l’installazione di malware.

• Diffidate dei siti web che affermano che il vostro browser deve essere aggiornato o che un errore può essere risolto solo eseguendo dei comandi. Gli aggiornamenti ufficiali del browser vengono effettuati tramite le impostazioni interne del browser, mai tramite un sito web.
• Non copiate mai codici o comandi da fonti sconosciute direttamente in «PowerShell», nel «Terminale» o nel prompt dei comandi.
• Non installate programmi da fonti sconosciute.
• Informate i collaboratori di questa specifica truffa. Essere consapevoli che un sito web non vi chiederà mai di inserire manualmente dei comandi nel sistema è la migliore protezione.
• Negli ambienti aziendali, occorre verificare se è possibile disattivare l’esecuzione degli script «PowerShell» per gli utenti generici.
• Se siete stati vittime di un attacco di questo tipo, vi invitiamo a denunciare l’incidente.

Numeri e statistiche attuali

Segnalazioni della scorsa settimana per categoria:

Numeri attuali