![[Link esterno] Sito internet - Provincia autonoma di Bolzano - Alto Adige](/css/img/APBZ_Logo_Website_DE_IT_LAD.svg){kind=logo}
Nuova campagna ClickFix usa ingegneria sociale per diffondere malware tramite prompt ingannevoli
Una nuova campagna di attacchi di tipo ClickFix è stata osservata dai ricercatori di sicurezza: si tratta di una tecnica di social engineering in cui gli aggressori inducono gli utenti a eseguire comandi dannosi sui propri dispositivi, con lo scopo di installare malware o compromettere sistemi e credenziali.
Il vettore principale dell’attacco inizia con pagine web compromesse o falsificate contenenti prompt “fittizi” — ad esempio richieste di verifica CAPTCHA o messaggi di errore — che incoraggiano l’utente a incollare e avviare un comando di sistema come se fosse necessario per risolvere un problema visualizzato.
Queste pagine ingannevoli sono strutturate in modo da caricare codice malevolo nel clipboard dell’utente attraverso JavaScript, per poi spingerlo a incollare il contenuto in un prompt di esecuzione locale (Windows Run, macOS Terminal, ecc.). Una volta eseguito, il comando scarica ed esegue payload dannosi, senza che il software antivirus rilevi l’attacco automatico perché l’azione è avviata dall’utente stesso.
La tecnica ClickFix si sta diffondendo rapidamente e ha già generato numerose varianti avanzate, incluse:
- Versioni che abusano di componenti di sistema legittimi (living-off-the-land) per nascondere l’esecuzione del codice dannoso.
- Metodi che recuperano payload maligni da record DNS TXT per eludere i filtri di rete.
- Varianti che colpiscono più sistemi operativi (Windows, macOS, Linux) e che impiegano tecniche di offuscamento per eludere i controlli di sicurezza.
I malware rilasciati tramite queste campagne includono infostealer, remote access trojan (RAT), backdoor e altri payload sofisticati che permettono agli aggressori di ottenere accesso persistente, esfiltrare dati sensibili e compromettere l’infrastruttura delle vittime.
Raccomandazioni di sicurezza
- Non eseguire mai comandi copiati da pagine web o popup di verifica, soprattutto se richiedono di incollarli in un terminale o dialogo di sistema.
- Evitare di visitare siti sospetti o compromessi, in particolare quelli raggiunti tramite link non verificati o da email di phishing.
- Bloccare l’esecuzione di script PowerShell o altri comandi di sistema da parte di utenti non amministrativi.
- Implementare controlli tecnici come il monitoraggio di attività anomale su registry di esecuzione, query DNS insolite o chiamate a strumenti di sistema che non dovrebbero essere utilizzati in condizioni normali.
- Formare gli utenti a riconoscere prompt e richieste ingannevoli, ribadendo che nessun sito web legittimo richiede l’esecuzione manuale di comandi di sistema.
SOC
Altri comunicati stampa di questa categoria
- Microsoft corregge una vulnerabilità ad alta gravità in Windows Admin Center che consente l’elevazione di privilegi (19/02/2026, 23:00)
- Gruppo di cyber-spionaggio con supporto statale compromette reti governative e infrastrutture critiche in 37 Paesi (05/02/2026, 23:00)
- Attori malevoli sfruttano la vulnerabilità React2Shell per dirottare il traffico web attraverso server NGINX compromessi (05/02/2026, 23:00)
![[external Link]: Dipartimento per la trasformazione digitale](https://assets-eu-01.kc-usercontent.com:443/505985a0-ced9-0184-5d3c-36be71e24187/89d3384e-8482-4aa1-8ae3-05b637cd88dc/dipartimento-transformazione-digitale.jpg?w=568&h=150&fit=crop&crop=smart&fm=webp&lossless=0&q=75)
![[external Link]: ACN](https://assets-eu-01.kc-usercontent.com:443/505985a0-ced9-0184-5d3c-36be71e24187/ac0e1861-4b7f-4ba1-85de-2e7e39b5372f/acn.jpg?w=568&h=150&fit=crop&crop=smart&fm=webp&lossless=0&q=75)
![[external Link]: Siag](https://assets-eu-01.kc-usercontent.com:443/505985a0-ced9-0184-5d3c-36be71e24187/dd32e81c-8456-4c46-803a-21a6983881c3/siag.jpg?w=568&h=150&fit=crop&crop=smart&fm=webp&lossless=0&q=75)