Gli attacchi ClickFix sfruttano principalmente l’ingegneria sociale per convincere gli utenti ad eseguire comandi che portano quasi sempre al furto dei dati. I cybercriminali utilizzano vari stratagemmi, tra cui falsi BSOD di Windows o false estensioni per Chrome. Negli ultimi giorni sono state individuate tre nuove varianti dell’attacco.
Script PowerShell da server DNS
La nuova campagna ClickFix, scoperta da Microsoft, sfrutta le query DNS per distribuire il malware. I cybercriminali convincono le ignare vittime ad eseguire un comando nslookup per contattare un server DNS, dal quale viene scaricato uno script PowerShell.
Questo script viene quindi eseguito sul computer e scarica altri malware, tra cui un eseguibile Python che recupera informazioni sul dispositivo. Viene quindi stabilita la persistenza (avvio automatico) e installato ModeloRAT che consente l’accesso remoto e il furto dei dati.
JavaScript dai commenti di Pastebin
La seconda variante dell’attacco è stata scoperta da Bleeping Computer. Ignoti cybercriminali hanno scritto diversi commenti su Pastebin per pubblicizzare un presunto exploit per il sito Swapzone.io che permette di guadagnare 13.000 dollari in due giorni.
Il link nei commenti porta ad un documento su Google Docs che sarebbe la guida da seguire per sfruttare la vulnerabilità del sito. In base alle istruzioni, l’utente dovrebbe visitare Swapzone.io e caricare un nodo Bitcoin attraverso il codice JavaScript da copiare nella barra degli indirizzi del browser.
Quando eseguito, lo script modifica il contenuto della pagina e altera il processo di swap (lo scambio di criptovalute). L’utente vede un tasso di cambio maggiore di quello reale (dovuto al presunto bug). Lo script cambia anche l’indirizzo del wallet, quindi le criptovalute vengono inviate ai cybercriminali.
Google Ads e Claude Artifacts
La terza variante dell’attacco ClickFix sfrutta Google Ads e Claude Artifacts. Quando l’ignara vittima cerca una guida su Google vengono mostrati link sponsorizzati che puntano ad articoli su Medium o scritti con Claude e resi pubblici dal presunto autore (in questo caso Apple).
Nei documenti ci sono le istruzioni da seguire (ad esempio per ottimizzare lo spazio di storage su Mac) nel terminale di macOS. Ovviamente il risultato finale non è quello previsto. Viene infatti scaricato ed eseguito il noto infostealer MacSync che ruba password, dati dal browser e credenziali dei wallet di criptovalute.
Ti potrebbe interessare
17 feb 2026