Un ricercatore di sicurezza ha descritto una versione alternativa al noto attacco ClickFix che sfrutta Esplora file di Windows. FileFix è sempre basato sull’ingegneria sociale, ma utilizza un comando PowerShell nascosto che l’ignara vittima deve copiare nella barra degli indirizzi di Esplora file.
FileFix, variante di ClickFix
L’attacco ClickFix prevede la visualizzazione di un messaggio di errore fasullo nel browser. L’utente viene invitato a copiare un commando negli appunti (clipboard) che dovrebbe risolvere il problema. Quando viene eseguito tramite finestra Esegui (Win + R) scarica il malware sul computer.
FileFix sfrutta un simile trucco per ingannare l’utente. Oltre alla visualizzazione del percorso nel file system, la barra degli indirizzi di Esplora file permette anche di eseguire comandi. In questo caso è sufficiente creare una pagina di phishing e mostrare le istruzioni per scaricare un file sul computer, come si può vedere nel video.
L’utente deve cliccare sul percorso indicato (copia), inserirlo nella barra degli indirizzi di Esplora file (incolla) e premere Invio. Nel percorso del file è nascosto (non visibile) un comando PowerShell che viene eseguito. L’ignara vittima non troverà il file in Esplora file, ma scaricherà ed eseguirà un malware (quasi sempre un infostealer che ruba numerosi dati personali).
Il ricercatore ha illustrato anche un’altra variante dell’attacco FileFix. Ai file eseguiti tramite Esplora file, viene rimosso l’attributo MoTW (Mark of The Web) che indica la provenienza da Internet. Fortunatamente, Microsoft Defender SmartScreen e Google Safe Browsing avvisano prima di salvare un’eseguibile, quindi il rischio dovrebbe essere inferiore.
Gli utenti devono prestare molta attenzione a questo tipo di attacchi. Se viene mostrato un avviso con le istruzioni per risolvere un errore inesistente o salvare un file è meglio chiudere il browser ed effettuare una scansione completa del computer con un antivirus aggiornato.
Ti potrebbe interessare
28 giu 2025