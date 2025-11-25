Gli esperti di Huntress hanno individuato nuovi attacchi ClickFix che sfruttano una finta schermata di Windows Update per ingannare gli utenti. L’obiettivo finale dei cybercriminali è installare un infostealer sul computer. Invece di scaricare il malware da un server, il suo codice viene nascosto all’interno di un’immagine PNG utilizzando la steganografia.

Non è un aggiornamento di Windows

ClickFix sfrutta l’ingegneria sociale. L’utente vede solitamente un messaggio di errore nel browser per un problema software inesistente. Per risolverlo deve eseguire un comando con la funzionalità Esegui di Windows. I cybercriminali usano diversi metodi, tra cui phishing, malvertising, siti compromessi e video sui social media.

I ricercatori di Huntress hanno individuato una nuova campagna che prevede l’uso di falsa schermata di Windows Update. Per completare l’aggiornamento è necessario aprire Esegui con Win + R, premere i tasti Ctrl + V e quindi Invio. La combinazione Ctrl + V incolla nel campo di Esegui un comando mshta che esegue uno script PowerShell.

Quest’ultimo è un loader che decifra il codice del malware nascosto in un’immagine PNG. Il malware in questione è LummaC2 o Rhadamanthys, due noti infostealer. La variante di Rhadamanthys usata nell’attacco è stata scoperta all’inizio di ottobre, quindi prima dello smantellamento dell’infrastruttura da parte delle forze dell’ordine. Non viene più distribuito tramite i domini che mostrano la schermata fake di Windows Update.

Quanto scoperto dai ricercatori di Huntress dimostra ancora una volta che i cybercriminali studiano sempre nuovi modi per ingannare gli utenti e raggiungere i loro obiettivi. Non devono mai essere eseguiti i comandi mostrati nella pagine web. La soluzione migliore è disattivare il box Esegui con questa modifica al registro:

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoRun /t REG_DWORD /d 1 /f

Non è tuttavia un’operazione alla portata di tutti (tra l’altro servono i permessi di amministratore) e, in caso di errore, sarà necessario reinstallare il sistema operativo.