ClickFix: Windows Update e steganografia
Topic
Approfondimenti
Trending
tutti

ClickFix: Windows Update e steganografia

Una nuova campagna ClickFix sfrutta falsi aggiornamenti di Windows e la steganografia per nascondere il codice del malware in un'immagine PNG.
ClickFix: Windows Update e steganografia
Sicurezza
Una nuova campagna ClickFix sfrutta falsi aggiornamenti di Windows e la steganografia per nascondere il codice del malware in un'immagine PNG.
Google AI Studio

Gli esperti di Huntress hanno individuato nuovi attacchi ClickFix che sfruttano una finta schermata di Windows Update per ingannare gli utenti. L’obiettivo finale dei cybercriminali è installare un infostealer sul computer. Invece di scaricare il malware da un server, il suo codice viene nascosto all’interno di un’immagine PNG utilizzando la steganografia.

Non è un aggiornamento di Windows

ClickFix sfrutta l’ingegneria sociale. L’utente vede solitamente un messaggio di errore nel browser per un problema software inesistente. Per risolverlo deve eseguire un comando con la funzionalità Esegui di Windows. I cybercriminali usano diversi metodi, tra cui phishing, malvertising, siti compromessi e video sui social media.

I ricercatori di Huntress hanno individuato una nuova campagna che prevede l’uso di falsa schermata di Windows Update. Per completare l’aggiornamento è necessario aprire Esegui con Win + R, premere i tasti Ctrl + V e quindi Invio. La combinazione Ctrl + V incolla nel campo di Esegui un comando mshta che esegue uno script PowerShell.

ClickFix Windows Update fake

Quest’ultimo è un loader che decifra il codice del malware nascosto in un’immagine PNG. Il malware in questione è LummaC2 o Rhadamanthys, due noti infostealer. La variante di Rhadamanthys usata nell’attacco è stata scoperta all’inizio di ottobre, quindi prima dello smantellamento dell’infrastruttura da parte delle forze dell’ordine. Non viene più distribuito tramite i domini che mostrano la schermata fake di Windows Update.

Quanto scoperto dai ricercatori di Huntress dimostra ancora una volta che i cybercriminali studiano sempre nuovi modi per ingannare gli utenti e raggiungere i loro obiettivi. Non devono mai essere eseguiti i comandi mostrati nella pagine web. La soluzione migliore è disattivare il box Esegui con questa modifica al registro:

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoRun /t REG_DWORD /d 1 /f

Non è tuttavia un’operazione alla portata di tutti (tra l’altro servono i permessi di amministratore) e, in caso di errore, sarà necessario reinstallare il sistema operativo.

Fonte: Bleeping Computer

Pubblicato il 25 nov 2025

Link copiato negli appunti

Ti potrebbe interessare

VPN a meno di 2 euro al mese? Con la nuova promo di VeePN è possibile

VPN a meno di 2 euro al mese? Con la nuova promo di VeePN è possibile
VPN da usare all'estero a Natale? C'è ExpressVPN in super offerta

VPN da usare all'estero a Natale? C'è ExpressVPN in super offerta
Violazione privacy: sanzioni per Verisure e Aimag

Violazione privacy: sanzioni per Verisure e Aimag
VPN illimitata con 1 euro al mese: ecco l'offerta di Natale da attivare oggi

VPN illimitata con 1 euro al mese: ecco l'offerta di Natale da attivare oggi
VPN a meno di 2 euro al mese? Con la nuova promo di VeePN è possibile

VPN a meno di 2 euro al mese? Con la nuova promo di VeePN è possibile
VPN da usare all'estero a Natale? C'è ExpressVPN in super offerta

VPN da usare all'estero a Natale? C'è ExpressVPN in super offerta
Violazione privacy: sanzioni per Verisure e Aimag

Violazione privacy: sanzioni per Verisure e Aimag
VPN illimitata con 1 euro al mese: ecco l'offerta di Natale da attivare oggi

VPN illimitata con 1 euro al mese: ecco l'offerta di Natale da attivare oggi
Luca Colantuoni
Pubblicato il
25 nov 2025
Link copiato negli appunti