Una nuova e insidiosa campagna di malware sta mettendo in difficoltà gli utenti Windows sfruttando la fiducia nelle procedure CAPTCHA, quelle verifiche che ormai tutti conosciamo per distinguere gli umani dai bot. I ricercatori di sicurezza di LevelBlue hanno scoperto una tecnica di social engineering denominata "ClickFix" che utilizza false pagine di verifica per installare StealC, un malware progettato specificamente per sottrarre credenziali dei browser, wallet di criptovalute, account Steam, credenziali Outlook, informazioni di sistema e screenshot, trasmettendo poi il tutto a server di comando e controllo attraverso traffico HTTP cifrato con algoritmo RC4.
Il meccanismo d'attacco è particolarmente subdolo perché si innesta su siti web legittimi già compromessi dagli hacker. I criminali informatici iniettano codice JavaScript malevolo che carica una falsa pagina CAPTCHA, visivamente quasi identica all'interfaccia di verifica di Cloudflare. La differenza cruciale sta nel tipo di verifica richiesta: invece dei classici test visivi per identificare semafori o strisce pedonali, agli utenti viene chiesto di premere una sequenza di tasti apparentemente innocua.
La procedura fraudolenta richiede di premere in sequenza Windows Key + R, seguito da Ctrl + V e infine Invio. Questa combinazione apre la finestra di dialogo Esegui di Windows e incolla automaticamente un comando PowerShell malevolo che gli attaccanti hanno preventivamente caricato negli appunti del sistema. Il vero pericolo risiede nel fatto che questo metodo bypassa completamente i prompt di download del browser e gli avvisi di sicurezza tradizionali, rendendo l'attacco praticamente invisibile ai meccanismi di difesa standard.
L'approccio ClickFix sfrutta un aspetto psicologico fondamentale: la fiducia degli utenti nelle combinazioni di tasti semplici, specialmente quando sembrano provenire da fonti affidabili come Cloudflare. Gli utenti raramente mettono in discussione questi comandi quando li percepiscono come parte di una routine di sicurezza standard, rendendo la tecnica estremamente efficace. Il fatto che il sito visitato sia realmente legittimo ma precedentemente compromesso aumenta ulteriormente il tasso di successo dell'attacco.
StealC rappresenta una minaccia significativa per la sicurezza dei dati personali e finanziari. Una volta installato, il malware opera in modo furtivo per esfiltrate credenziali memorizzate nei browser più diffusi, mirando specificamente anche ai portafogli di criptovalute, un obiettivo sempre più ambito dai cybercriminali considerando il valore degli asset digitali. L'inclusione degli account Steam indica inoltre un interesse verso le economie virtuali e i marketplace di gaming.
Per gli utenti più esperti tecnicamente, LevelBlue suggerisce diverse contromisure: limitare l'esecuzione di script PowerShell attraverso le policy di esecuzione di Windows, implementare controlli applicativi rigorosi tramite AppLocker o Windows Defender Application Control, e monitorare attentamente il traffico in uscita per identificare tentativi di esfiltrazione di credenziali. Per l'utente medio, la difesa principale resta la consapevolezza: nessun CAPTCHA legittimo richiederà mai di aprire la finestra Esegui o di incollare comandi.
