ClickFix è una delle tecniche di ingegneria sociale più utilizzate dai cybercriminali. Gli utenti eseguono specifici comandi credendo di poter risolvere vari problemi software. Invece scaricano sul computer diversi malware, tra cui il noto Lumma Stealer. Gli attacchi avvengono principalmente contro Windows, ma sono in aumento quelli contro macOS. Microsoft ha pubblicato un report che descrive la catena di infezione e le possibili contromisure.
ClickFix in dettaglio
Per avviare un attacco ClickFix vengono solitamente sfruttati tre metodi: email di phishing, malvertising e sito compromesso. In tutti i casi, gli utenti devono eseguire comandi per risolvere un presunto bug o superare i controlli dei CAPTCHA. Microsoft ha pubblicato alcuni esempi reali.
Il phishing è stato usato dai gruppo Storm-1607. Le vittime ricevono email con allegati HTML. Quando aperti caricano una pagina con un falso documento Word. Viene mostrato un messaggio di errore per un problema inesistente. L’utente deve cliccare sul pulsante (che copia il comando negli appunti), aprire il terminale di Windows e copiare il comando. In alternativa, nell’email è presente un link che porta l’utente su un sito dove è presente un CAPTCHA fasullo con le stesse istruzioni da seguire.
Il malvertising prevede la visualizzazione di link sponsorizzati nei risultati dei motori di ricerca. I link puntano ad esempio a siti di streaming. Quando l’utente preme sul pulsate Play viene mostrato un CAPTCHA fasullo. Seguendo le istruzioni viene scaricato Lumma Stealer.
Il solito CAPTCHA viene infine mostrato con il terzo metodo. Nell’email c’è un link che porta l’utente su un sito compromesso (spesso basato su una versione vulnerabile di WordPress). In questo caso viene simulata la verifica con Cloudflare Turnstile.
Per i cybercriminali meno esperti sono disponibili ClickFix Builder, ovvero kit che includono tutto l’occorrente per inviare email, creare pagine fake e installare malware. Il pacchetto completo può costare anche 1.500 dollari/mese. Oltre che infostealer, i cybercriminali usano la tecnica ClickFix per distribuire RAT (Remote Access Trojan), loader e rootkit.
La principale protezione per gli utenti è Microsoft Defender SmartScreen. Quando viene aperta una pagina ClickFix, Edge mostra un avviso di pericolo. È necessario prestare molta attenzione alle email ricevute. Non deve ovviamente essere eseguito nessun comando per risolvere un presunto problema software.