Cybersecurity: aumentano gli attacchi informatici in Italia | Pixabay @mustafaU - Cryptohack
Cos’è la nuova tecnica di social engineering, che sfrutta la fiducia umana come superficie di attacco
FileFix è un attacco di social engineering scoperto di recente, che si basa sulla tattica ClickFix. A differenza di quest’ultimo, che induce gli utenti a eseguire comandi malevoli tramite la finestra di dialogo Esegui di Windows, FileFix adotta un approccio più sottile: apre una finestra Esplora file legittima di Windows da una pagina web e carica silenziosamente un comando PowerShell camuffato negli appunti dell’utente. Quando la vittima incolla il comando nella barra degli indirizzi di Esplora risorse, il comando dannoso viene eseguito. Questo attacco non si basa sulle vulnerabilità del software, ma sulla manipolazione delle azioni di routine degli utenti e della loro fiducia.
Con FileFix ora operativo in campagne reali, i difensori devono prepararsi alla fase successiva: la distribuzione su larga scala di payload dannosi che utilizzano questa tecnica. L’infrastruttura di attacco è stata creata ed è solo questione di tempo prima che FileFix causi danni significativi.
Il contesto: l’ascesa degli attacchi FakeCaptcha/FixIt/ClickFix
ClickFix è un trucco di ingegneria sociale semplice ma molto efficace. Convince gli utenti a eseguire codice malevolo fingendo che ci sia un problema tecnico da risolvere, come un CAPTCHA non funzionante o un errore del browser. Alle vittime viene solitamente chiesto di copiare e incollare un comando nella finestra di dialogo Esegui di Windows, infettando inconsapevolmente il proprio computer durante il processo.
Nell’ultimo anno, gli attacchi ClickFix sono aumentati, evolvendosi in uno dei metodi di accesso iniziale più comuni. Gli aggressori falsificano servizi familiari e progettano messaggi di errore convincenti per abbassare le difese degli utenti. Questo successo ha aperto la strada a FileFix, una nuova variante con un’esecuzione ancora più sottile.
La tecnica FileFix: un’evoluzione degli attacchi di ingegneria sociale ClickFix
Sulla scia del grande successo dell’attacco di social engineering ClickFix, il ricercatore di sicurezza mr.d0x ha introdotto FileFix il 23 giugno 2025, una nuova tecnica più furtiva progettata per indurre gli utenti a eseguire comandi pericolosi e malevoli senza destare sospetti.
A differenza di ClickFix, che si basa sulla finestra di dialogo Esegui di Windows, più evidente, FileFix sposta l’attacco nell’ambiente familiare e affidabile di Esplora file di Windows. Questa tecnica non sfrutta le vulnerabilità del software, ma piuttosto la fiducia degli utenti nelle azioni quotidiane di Windows per eseguire codice dannoso.
Gli autori delle minacce hanno iniziato a utilizzare la nuova tecnica FileFix meno di due settimane dopo la sua pubblicazione, dimostrando la rapidità con cui i criminali informatici si adattano alle tendenze emergenti. Tecniche come ClickFix si sono affermate come alcuni dei metodi di accesso iniziale più efficaci, non attraverso exploit tecnici, ma tramite una manipolazione a basso costo e ad alto impatto del comportamento degli utenti.
Prepararsi alla prossima ondata di attacchi di social engineering: difendersi da FileFix e ClickFix
La rapida ascesa della tecnica ClickFix nel 2025 evidenzia che il social engineering rimane uno dei metodi più convenienti e duraturi utilizzati dai criminali informatici per violare le difese. Questo approccio sfrutta il comportamento umano, ingannando gli utenti e indurli a eseguire inconsapevolmente comandi dannosi sui propri computer.
FileFix perfeziona questa tattica nascondendo comandi malevoli dietro l’azione apparentemente innocua di aprire file in Esplora file di Windows. Il fatto che FileFix sia già stato testato e utilizzato in situazioni reali pochi giorni dopo la sua divulgazione pubblica dimostra la rapidità con cui gli aggressori adottano nuove tecniche e si adattano al panorama delle minacce informatiche in continua evoluzione.
Raccomandazioni chiave per difendersi
- Diffidare di qualsiasi pagina web o e-mail che chieda di eseguire azioni manuali insolite, in particolare copiare e incollare comandi nelle finestre di dialogo di sistema o nella barra degli indirizzi di Windows Explorer. I siti web e i software legittimi raramente richiedono l’esecuzione manuale di comandi per risolvere i problemi.
- Monitorare le pagine di phishing che imitano servizi popolari o schermate di verifica della sicurezza, in particolare quelle che utilizzano modelli simili a Cloudflare o identificatori falsi ricorrenti come i Ray ID.
- Implementare e mettere a punto regole di rilevamento degli endpoint per segnalare attività sospette negli appunti o esecuzioni insolite di PowerShell innescate dalle azioni degli utenti.
- Tenersi aggiornati e aggiornare sulle tendenze emergenti nel campo del social engineering, i piani di risposta agli incidenti e i playbook di sicurezza.
- Promuovere in azienda una cultura della verifica in cui gli utenti confermano le richieste inaspettate o insolite con i team IT o di sicurezza prima di agire.
- Rimanere informati e vigili è fondamentale per impedire agli attaccanti di trasformare gli utenti in complici inconsapevoli.
- Sfruttare la protezione degli endpoint con Check Point Harmony Endpoint