Lo specialista della sicurezza mr.d0x ha sviluppato l’attacco FileFix, una nuova versione dell’attacco ClickFix che induce l’utente a eseguire comandi dannosi tramite il prompt di Windows Explorer.
Gli attacchi ClickFix si basano sull’ingegneria sociale. Recentemente, diverse varianti di questi attacchi sono diventate comuni. In genere, le vittime vengono attirate su siti fraudolenti e indotte con l’inganno a copiare ed eseguire comandi PowerShell dannosi. In altre parole, infettano manualmente il proprio sistema con malware.
Gli aggressori eseguono determinati comandi risolvendo problemi di visualizzazione del contenuto nel browser o chiedendo all’utente di risolvere un CAPTCHA falso. Sebbene gli attacchi ClickFix prendano di mira più spesso gli utenti Windows convinti a eseguire comandi PowerShell, i ricercatori di sicurezza hanno già segnalato campagne mirate anche agli utenti macOS e Linux.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Secondo ESET, l’uso di ClickFix come vettore di accesso iniziale è aumentato del 517% tra la seconda metà del 2024 e la prima metà del 2025. Nei attacchi ClickFix, quando un utente clicca su un pulsante su un sito web fraudolento, un comando PowerShell dannoso viene automaticamente copiato negli appunti di Windows. Alla vittima viene quindi chiesto di incollarlo nella riga di comando tramite la combinazione di tasti Win+R.
Il ricercatore ha proposto il seguente scenario teorico per un attacco FileFix. Tutto inizia ancora una volta con una pagina di phishing, ma invece di CAPTCHA o falsi errori, la pagina potrebbe visualizzare una notifica che un file è stato condiviso con l’utente. Per trovare il file, il percorso dovrebbe essere copiato e incollato in Explorer.
La pagina di phishing potrebbe contenere un pulsante ‘Apri Esplora file‘, che se cliccato avvierà Esplora file (utilizzando la funzionalità di caricamento file) e copierà il comando PowerShell negli appunti, spiega mr.d0x.
Un aggressore può persino mascherare un comando dannoso aggiungendo un percorso di file fittizio a un commento di PowerShell. Come mostra il video dimostrativo qui sotto, questo farà sì che Esplora file mostri solo il percorso fittizio nella barra degli indirizzi, mentre il comando dannoso rimane nascosto.
Poiché l’apertura di Explorer richiede l’utilizzo della funzionalità di caricamento file, il ricercatore ha progettato attentamente FileFix per impedire la selezione casuale di file dal computer della vittima. Ad esempio, sono state aggiunte diverse righe al codice della pagina di phishing di prova che bloccano le azioni di caricamento file “intercettando l’evento di selezione file e cancellando immediatamente l’input”.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Vulnerabilità
Cybercrime
Cybercrime
Innovazione
Cybercrime