Immaginate di ricevere un link per partecipare a una videochiamata su Google Meet. Cliccate, ma invece di entrare nella riunione, vi trovate su una pagina che mostra un falso messaggio d’errore, invitandovi a copiare e incollare un codice per “risolvere il problema”. Quel codice, però, è un malware: un software dannoso creato per sottrarre i vostri dati o prendere il controllo del computer. Questa nuova tecnica di attacco informatico, chiamata ClickFix, sta guadagnando rapidamente terreno. La sua efficacia risiede nella capacità di sfruttare la fiducia degli utenti verso piattaforme ritenute sicure, come Google Meet, Zoom o Booking.com, per convincerli a eseguire manualmente azioni che comprometteranno i loro dispositivi.
Meccanismi di funzionamento di Clickfix
Il meccanismo alla base di ClickFix è tanto semplice quanto ingannevole. I cybercriminali creano una pagina web che replica perfettamente il sito ufficiale di un servizio noto, modificando gli indirizzi affinché sembrino autentici (come “meet.google.com-join.us”), anche se in realtà conducono a siti malevoli. Gli utenti ricevono un’email di phishing, un messaggio ingannevole che appare provenire da fonti affidabili, invitandoli a cliccare su un link o a scaricare un allegato. Una volta arrivati sulla pagina-trappola, un avviso d’errore falso suggerisce di incollare un comando in PowerShell (su Windows) o di avviare un file apparentemente innocuo (su macOS). Così, il malware viene eseguito direttamente dalla vittima, riuscendo a eludere in molti casi antivirus e sistemi di protezione automatica.
Chi sono i responsabili di Clickfix
Secondo le indagini condotte da diverse aziende specializzate in cybersicurezza, la campagna ClickFix è orchestrata da gruppi noti nel panorama del cybercrimine, come Slavic Nation Empire e Scamquerteo. Questi gruppi operano in ambienti oscuri del web, spesso legati alla vendita di servizi di hacking “chiavi in mano”, noti come Malware-as-a-Service. È probabile che utilizzino un’infrastruttura condivisa, gestita da organizzazioni sconosciute, che forniscono loro strumenti, domini fasulli e codici già pronti. Tra i malware più diffusi tramite ClickFix ci sono i stealer: programmi progettati per rubare password, dati bancari e informazioni sensibili. Nomi come StealC, Rhadamanthys e Atomic sono già noti agli esperti, ma emergono continuamente nuove varianti.
Strategie di difesa contro Clickfix
La tecnica ClickFix rappresenta un’evoluzione nel phishing, poiché richiede un’interazione attiva da parte della vittima, rendendo più difficile per i sistemi automatici rilevare l’attacco. Per proteggersi, è cruciale prestare attenzione a ogni richiesta insolita ricevuta via email o chat, anche se sembra provenire da fonti sicure. Un semplice controllo dell’indirizzo web può spesso rivelare un sito contraffatto. Inoltre, è fondamentale diffidare di messaggi che invitano a copiare codici nei terminali di sistema o ad aprire file eseguibili provenienti da link non ufficiali. Gli esperti consigliano di mantenere aggiornati browser e antivirus, ma la vera difesa contro truffe come ClickFix rimane la prudenza: il punto debole di questo schema è la necessità di ingannare l’utente e spingerlo ad agire.