Le campagne di malvertising ClickFix stanno attraversando una nuova fase evolutiva caratterizzata dall’integrazione di strumenti di intelligenza artificiale, dall’utilizzo di loader sempre più modulari e dall’adozione di tecniche di persistenza progettate per sfuggire alle moderne soluzioni di sicurezza. I ricercatori hanno osservato un aumento significativo di operazioni che sfruttano schermate fraudolente per convincere le vittime a eseguire manualmente comandi PowerShell dannosi, trasformando gli utenti stessi nell’anello finale della catena di compromissione. A rendere particolarmente efficace questo approccio contribuisce l’abuso delle funzionalità di condivisione delle conversazioni offerte da ClaudeAI, utilizzate dagli attaccanti per conferire una parvenza di autorevolezza alle istruzioni malevole. Parallelamente sono emersi nuovi loader come BabaDeda, Lorem Ipsum e Potemkin, progettati per distribuire info stealer, RAT, backdoor e ransomware all’interno di organizzazioni attive nei settori dell’istruzione e della finanza.
Cosa leggere
Come funziona la tecnica ClickFix
La tecnica ClickFix si basa quasi esclusivamente sul social engineering e non richiede vulnerabilità software o exploit complessi. Gli aggressori creano pagine web che simulano verifiche di sicurezza, aggiornamenti del browser o controlli CAPTCHA apparentemente legittimi. Le schermate mostrano istruzioni dettagliate che guidano l’utente nell’apertura della finestra Esegui di Windows attraverso la combinazione di tasti Win+R. Successivamente la vittima viene invitata a incollare un comando PowerShell già copiato negli appunti e ad avviarne l’esecuzione. Dal punto di vista psicologico il meccanismo è estremamente efficace perché trasforma un’azione dannosa in una procedura che appare tecnica, autorizzata e necessaria per continuare la navigazione. Una volta eseguito il comando, il sistema scarica il loader iniziale che procede all’analisi dell’ambiente, verifica la presenza di prodotti di sicurezza e determina se proseguire con l’infezione. Questa metodologia consente agli attaccanti di aggirare molte delle protezioni tradizionali perché è l’utente stesso a lanciare il payload.
Le campagne ClickFix accelerano nel 2026
Nel corso del 2026 le operazioni basate su ClickFix hanno registrato una crescita significativa sia in termini di volume sia di sofisticazione. I gruppi criminali hanno progressivamente abbandonato l’utilizzo di binari firmati con certificati ottenuti fraudolentemente dopo le operazioni condotte da Microsoft contro i servizi di firma malware. Al loro posto sono stati introdotti loader modulari progettati per operare senza firme digitali e con una struttura altamente frammentata. Ogni componente svolge una funzione specifica, dalla consegna iniziale alla decrittazione dei payload, dall’iniezione in memoria fino alla comunicazione con i server C2. Questa architettura riduce la visibilità delle attività malevole e rende più complessa l’analisi da parte delle soluzioni EDR e degli strumenti forensi. Le campagne mostrano inoltre comportamenti selettivi, evitando sistemi localizzati in Russia e Bielorussia e verificando preventivamente la presenza di software di sicurezza prima di procedere con le fasi successive dell’attacco.
BabaDeda introduce una catena malware altamente modulare
Uno dei loader più interessanti osservati nelle recenti campagne è BabaDeda, individuato per la prima volta nell’aprile 2026. Il malware viene distribuito attraverso pacchetti di installazione apparentemente legittimi che nascondono i payload reali all’interno di file esterni cifrati. Un componente denominato Storage Crypter recupera i dati da archivi come List.Control.dat e li decifra soltanto durante l’esecuzione, riducendo le possibilità di rilevamento statico.
Il payload principale consiste in una backdoor .NET in grado di raccogliere una vasta quantità di informazioni sul sistema compromesso. Tra i dati sottratti figurano cronologia di navigazione, cookie, credenziali memorizzate, configurazioni di sistema e informazioni protette tramite DPAPI. La backdoor può inoltre eseguire comandi shell, acquisire screenshot, esplorare directory selezionate e inviare i risultati ai server di comando e controllo mediante canali cifrati. In alcune varianti il loader distribuisce ulteriori malware come DanaBot e SectopRAT utilizzando tecniche di DLL side-loading.
Lorem Ipsum sfrutta Node.js e siti WordPress compromessi
Un secondo loader emerso nel panorama ClickFix è Lorem Ipsum, attivo almeno dall’inizio del 2026. Questa campagna utilizza archivi ZIP che includono una versione obsoleta di Node.js 7.10.1 insieme a componenti JavaScript progettati per stabilire la persistenza sul sistema. Il malware impiega script batch e librerie malevole come mscoree.dll e msvcp140.dll per garantire l’esecuzione automatica e il caricamento dei payload successivi.
Una caratteristica distintiva dell’operazione è l’utilizzo di siti WordPress compromessi appartenenti a organizzazioni nei settori dell’architettura, dei servizi legali e delle costruzioni. Le vittime vengono attirate attraverso falsi aggiornamenti di Microsoft Edge, che fungono da esca per l’avvio della catena di infezione. Dopo il primo stadio, il sistema riceve una backdoor persistente che prepara l’ambiente per il dispiegamento di ulteriori malware, compresi ransomware come Rhysida.
Potemkin utilizza DGA e movimento laterale avanzato
Il loader Potemkin, osservato nel maggio 2026, introduce funzionalità ancora più sofisticate. Il malware impiega un Domain Generation Algorithm (DGA) basato su un dizionario di circa mille parole per generare dinamicamente i domini utilizzati per le comunicazioni con il server di comando e controllo.
Questa tecnica rende più difficile bloccare l’infrastruttura dell’attaccante attraverso semplici blacklist. Il loader opera interamente in memoria, caricando moduli riflessivi che evitano la scrittura permanente su disco. Le comunicazioni vengono protette attraverso un cifrario personalizzato e ogni vittima riceve un identificatore unico memorizzato localmente. In alcune intrusioni documentate, gli operatori hanno installato esclusioni in Microsoft Defender, configurato tunnel tramite Chisel e Cloudflare Tunnel e utilizzato strumenti come WMIExec e SMBExec per muoversi lateralmente fino ai Domain Controller. I payload finali comprendono EtherRAT e RMMProject, strumenti in grado di sottrarre credenziali da browser Chromium, acquisire screenshot e mantenere accesso remoto persistente.
ClaudeAI viene utilizzato come strumento di credibilità
Uno degli sviluppi più significativi delle campagne recenti riguarda l’abuso delle funzionalità di condivisione offerte da ClaudeAI. Gli aggressori pubblicano conversazioni condivise che contengono istruzioni, link o procedure apparentemente generate dall’intelligenza artificiale. La presenza di un contesto associato a un chatbot AI aumenta la fiducia delle vittime e riduce la percezione del rischio. Le conversazioni vengono utilizzate come supporto alle campagne di malvertising, fornendo spiegazioni tecniche che giustificano l’esecuzione di comandi PowerShell o il download di software.
In alcuni casi le stesse tecniche vengono combinate con falsi installer di strumenti AI, compresi pacchetti MSI che imitano applicazioni legittime collegate a Claude. Questi installer distribuiscono malware come Phexia Stealer, dimostrando come l’interesse crescente verso l’intelligenza artificiale stia diventando una nuova leva per le operazioni di social engineering.
Settori educazione e finanza tra i più colpiti
Le indagini mostrano che le campagne ClickFix prendono di mira principalmente organizzazioni attive nei settori dell’istruzione e della finanza. Questi ambienti rappresentano obiettivi particolarmente interessanti per gli attaccanti a causa della presenza di dati sensibili, informazioni personali e credenziali ad alto valore economico.
Una volta completata l’infezione iniziale, le backdoor consentono l’accesso persistente alle reti aziendali e facilitano il movimento laterale verso sistemi più critici. In numerosi casi documentati gli operatori sono riusciti a raggiungere server centrali e Domain Controller, mantenendo il controllo per periodi prolungati. Il furto di cookie di sessione, credenziali browser, screenshot e file locali può tradursi in violazioni della privacy, perdite economiche e compromissione di infrastrutture aziendali strategiche.
Gli attaccanti si adattano rapidamente alle contromisure
Le recenti evoluzioni dimostrano una notevole capacità di adattamento da parte dei gruppi criminali. Dopo le operazioni di contrasto che hanno limitato la disponibilità di certificati utilizzabili per firmare malware, gli attaccanti hanno modificato rapidamente le proprie procedure adottando meccanismi basati su ClickFix, loader unsigned e payload completamente in memoria. L’abuso di siti compromessi, tunnel cifrati e strumenti legittimi di amministrazione remota riduce ulteriormente le possibilità di rilevamento. La modularità dei nuovi loader consente inoltre di sostituire rapidamente singoli componenti senza dover riscrivere l’intera catena di attacco. L’integrazione di temi legati all’intelligenza artificiale, inclusi falsi software AI e l’utilizzo di chat condivise ClaudeAI, conferma come il social engineering continui a evolversi seguendo le tendenze tecnologiche del momento.
ClickFix conferma il ritorno del fattore umano come vettore principale
Le campagne osservate nel 2026 dimostrano che il fattore umano rimane uno degli elementi più vulnerabili dell’ecosistema digitale. ClickFix non richiede exploit zero-day né vulnerabilità particolarmente sofisticate, ma sfrutta la capacità degli attaccanti di convincere le vittime a eseguire autonomamente azioni pericolose. L’aggiunta di loader modulari come BabaDeda, Lorem Ipsum e Potemkin, unita all’abuso delle funzionalità di condivisione offerte da ClaudeAI, rende queste operazioni particolarmente efficaci contro utenti e organizzazioni. La combinazione tra social engineering avanzato, infrastrutture distribuite e malware specializzati permette agli aggressori di mantenere elevati tassi di successo anche in ambienti protetti da moderne tecnologie di sicurezza, confermando che la formazione degli utenti continua a rappresentare una componente essenziale della difesa informatica.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
