Una nuova e sofisticata evoluzione degli attacchi ClickFix sta mettendo in allerta la comunità della sicurezza informatica: i cybercriminali hanno iniziato a sfruttare false schermate di aggiornamento Windows a schermo intero, nascondendo il codice malevolo all'interno di immagini mediante steganografia. Questa variante rappresenta un salto qualitativo preoccupante rispetto alle implementazioni precedenti, poiché combina una presentazione visiva estremamente convincente con tecniche di evasione avanzate, che rendono difficile il rilevamento da parte dei sistemi di sicurezza tradizionali. L'efficacia di questo approccio ha portato a una rapida adozione da parte di attori malevoli di diversi livelli, trasformando ClickFix in una delle minacce social engineering più diffuse del momento.
Il meccanismo di base degli attacchi ClickFix rimane invariato: convincere gli utenti a incollare ed eseguire comandi nel Prompt dei comandi di Windows, portando all'installazione di malware sul sistema. Tuttavia, le nuove varianti osservate da inizio ottobre hanno abbandonato le semplici finestre pop-up in favore di pagine browser a schermo intero che simulano con precisione l'interfaccia degli aggiornamenti di sicurezza di Windows, oppure utilizzano il pretesto ormai classico della verifica umana. Le vittime vengono istruite a premere una sequenza specifica di tasti, che in realtà incolla ed esegue comandi malevoli automaticamente copiati negli appunti tramite JavaScript eseguito silenziosamente dal sito.
Secondo un'analisi approfondita condotta dai ricercatori di Huntress, fornitore di servizi di sicurezza gestita, le nuove varianti distribuiscono principalmente gli infostealer LummaC2 e Rhadamanthys, due delle famiglie di malware per il furto di credenziali più attive nell'ecosistema cybercriminale attuale. L'aspetto più rilevante dal punto di vista tecnico è l'uso della steganografia per codificare il payload finale direttamente nei dati dei pixel di immagini PNG, sfruttando specifici canali di colore per ricostruire e decifrare il carico malevolo in memoria, rendendo praticamente impossibile il rilevamento tramite semplice analisi dei file.
La catena di infezione è articolata su più stadi e dimostra una notevole sofisticazione tecnica. Il processo inizia sfruttando mshta.exe, un binario nativo di Windows, per eseguire codice JavaScript malevolo. Successivamente vengono impiegati script PowerShell e un assembly .NET denominato Stego Loader, responsabile della ricostruzione del payload finale incorporato in forma crittografata all'interno di un file PNG. All'interno delle risorse manifest di Stego Loader si trova un blob crittografato con AES che contiene effettivamente il file PNG steganografico con lo shellcode, ricostruito mediante codice C# personalizzato.
I ricercatori di Huntress hanno identificato anche l'implementazione di una tattica di evasione dinamica nota come "trampoline", in cui la funzione di entry point inizia chiamando 10.000 funzioni vuote per complicare l'analisi statica e dinamica del codice. Lo shellcode contenente i campioni di infostealer viene estratto dall'immagine crittografata ed è impacchettato utilizzando Donut, uno strumento che consente l'esecuzione in memoria di file VBScript, JScript, EXE, DLL e assembly .NET, bypassando completamente il filesystem e molti sistemi di rilevamento basati su firme.
La variante che utilizza la falsa schermata di aggiornamento Windows per distribuire Rhadamanthys è stata identificata per la prima volta a ottobre, prima che l'operazione delle forze dell'ordine denominata Operation Endgame smantellasse parti significative della sua infrastruttura il 13 novembre. Nonostante l'intervento, Huntress segnala che i domini utilizzati per la campagna con il falso aggiornamento Windows risultano ancora attivi, sebbene non distribuiscano più il payload finale a causa dello smantellamento dei server di comando e controllo.
I ricercatori raccomandano diverse contromisure pratiche per difendersi. La prima è la disabilitazione della finestra di dialogo Esegui di Windows tramite Group Policy, che elimina uno dei vettori principali di esecuzione di questi comandi malevoli. Fondamentale risulta anche il monitoraggio delle catene di processi sospette, in particolare quando explorer.exe genera direttamente mshta.exe o PowerShell, comportamenti anomali che raramente si verificano in operazioni legittime del sistema operativo.
Per l'analisi forense di potenziali incidenti, gli esperti suggeriscono di verificare la chiave di registro RunMRU, che mantiene uno storico dei comandi inseriti dagli utenti nella finestra Esegui di Windows. Questo registro può fornire evidenze cruciali per determinare se un utente è stato vittima di un attacco ClickFix e quali comandi sono stati eseguiti sul sistema compromesso. La natura multilivello e altamente tecnica di queste nuove varianti sottolinea l'importanza di un approccio difensivo stratificato che combini formazione degli utenti, controlli tecnici preventivi e capacità di rilevamento comportamentale avanzate.