// 2 CVE · 1 EXPLOIT NELLE ULTIME 24H
Un ricercatore ha analizzato 3.000 payload ClickFix live: architettura API-driven, wrapping crittografico rotante e adozione da APT nation-state. Ecco cosa cambia.

Bert-Jan Pals ha analizzato circa 3.000 payload da campagne ClickFix attive, presentando i risultati il 30 giugno 2026. La ricerca svela un salto di maturità: dai comandi artigianali copiati negli appunti a un sistema di delivery on-demand basato su API, con generatori polimorfici e commercializzazione di builder ready-made. Il dato che ferma è la misura di questo cambiamento: 100 richieste consecutive al server hanno prodotto 100 payload distinti.

Punti chiave
  • Bert-Jan Pals ha analizzato circa 3.000 payload ClickFix da campagne live; 100 richieste al server API hanno generato 100 payload unici con wrapping crittografico rotante
  • L'infrastruttura serve lure in 25 lingue e adatta il payload al sistema operativo del visitatore, incluso macOS
  • Nuova tecnica "Downloads-folder": comando innocuo nella clipboard orchestra un file precedentemente scaricato, evadendo AMSI
  • Gruppi APT nation-state — APT28, MuddyWater, Kimsuky e attori nordcoreani — hanno adottato ClickFix nelle loro catene di infezione

Da copia-incolla a generazione on-demand: l'architettura API

Il meccanismo ClickFix è noto: una pagina ingannevole convince l'utente a premere una combinazione di tasti, copiare un comando negli appunti e incollarlo in PowerShell o nel dialogo Esegui. Ciò che Pals ha mappato è ciò che succede dietro questa superficie.

I payload provengono da server backend strutturati come servizio API. Il ricercatore ha documentato token di accesso, logging operativo e generazione on-demand: ogni richiesta produce un payload fresco, con lo stesso core script avvolto in layer crittografici diversi. Il test con 100 richieste consecutive ha restituito 100 varianti uniche, usando Base64, AES, TripleDES, Rijndael e Deflate in rotazione. "The move from one-off scripts to on-demand payload servers is what keeps that adaptation cheap to repeat", ha osservato Pals.

La piattaforma segmenta il traffico per lingua e sistema operativo. Sono 25 le lingue documentate, con adattamento automatico del comando al target: Windows, e in alcuni casi macOS. Tre payload server distinti sono stati identificati nella ricerca, sebbene i dettagli completi su nomi e endpoint non siano disponibili nell'estratto pubblicato.

"ClickFix is here to stay"
— Bert-Jan Pals

Downloads-folder: l'evoluzione specifica contro AMSI

La difesa principale di Windows contro script malevoli in memoria è AMSI, l'Antimalware Scan Interface. I payload ClickFix tradizionali incrociano AMSI quando il comando copiato viene incollato e interpretato. La nuova tecnica documentata da Pals, denominata "Downloads-folder", ricompone il flusso per aggirare questo controllo.

Il comando copiato negli appunti è innocuo per design: sposta o rinomina un file già presente nella cartella Download. Il payload vero è stato scaricato lateralmente in precedenza, separato dal comando che lo attiva. AMSI scansiona ciò che passa attraverso la pipeline di esecuzione script; un'istruzione di spostamento file non attiva lo stesso percorso. "The disguise is disposable; the malware under it is not", ha sintetizzato il ricercatore.

Un altro adattamento segnalato è il passaggio dal dialogo Esegui a Windows Terminal come veicolo di esecuzione. Questo cambiamento riduce le tracce forensi: il comando non compare più in RunMRU, il registro delle istruzioni recenti del dialogo Esegui, rendendo più difficile la ricostruzione post-incidente.

I numeri che misurano la scalata

La diffusione di ClickFix ha dimensione industriale. ESET ha misurato un aumento significativo di questa tecnica dal tardo 2024 alla prima metà del 2025. Microsoft ha indicato ClickFix nel 47% dei casi di accesso iniziale rilevati dal team Defender Experts. Expel ha rilevato un'ondata denominata ClearFix che ha probabilmente infettato decine di migliaia di endpoint a partire da agosto 2025.

I launcher più frequenti nei payload analizzati sono PowerShell e cmd.exe, entrambi al circa 39%, seguiti da msiexec.exe al circa 34%. La distribuzione tra più vettori di esecuzione indica che gli operatori non dipendono da un singolo binario di sistema, ma testano e adattano in base al contesto della vittima.

Dal crimeware di massa alle operazioni APT nation-state

L'adozione di ClickFix da parte di gruppi APT documenta la transizione da tecnica criminale generica a componente strategico. APT28 (Russia), MuddyWater (Iran) e Kimsuky (Corea del Nord) l'hanno integrato nelle proprie catene di infezione. ESET ha tracciato la vendita di builder ClickFix ready-made ad altri attori, indicando una commercializzazione attiva dell'infrastruttura.

Una campagna specifica, "ClickFake Interview", attribuita a operatori nordcoreani, ha utilizzato questa tecnica contro lavoratori del settore crittovalute. Il dossier non specifica se gli APT usino la stessa infrastruttura API identificata da Pals o varianti indipendenti, ma la convergenza sul metodo è il dato rilevante.

Cosa fare adesso

Le difese contro ClickFix richiedono un riallineamento specifico su tre fronti. Primo: il controllo degli endpoint deve estendersi oltre la scansione della memoria script, perché la tecnica Downloads-folder separa il comando innocuo — che attraversa AMSI — dal payload dannoso già residente su disco. Secondo: i team di sicurezza devono monitorare l'uso di Windows Terminal come veicolo di esecuzione, non solo il dialogo Esegui tradizionale, dato il passaggio documentato dagli operatori.

Terzo: la visibilità sui 3.000 payload analizzati da Pals mostra che il 39% degli attacchi usa PowerShell e il 39% cmd.exe, con il 34% che passa per msiexec.exe. Questa distribuzione richiede regole di rilevamento multipiattaforma, non focalizzate su un singolo launcher. La generazione on-demand di 100 payload unici da 100 richieste rende inoltre inefficaci le firme statiche: il rilevamento deve spostarsi su comportamenti anomali della catena di esecuzione, non su hash o pattern crittografici.

La commercializzazione dei builder e l'adozione APT confermano che ClickFix ha attraversato la soglia che separa le tattiche effimere dalle infrastrutture persistenti. La domanda che resta aperta è quanto velocemente le difese possano ricostruire visibilità su un flusso che ora si spezza tra clipboard innocua e file laterale.

Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. thehackernews.com
  2. isc.sans.edu
  3. recordedfuture.com
  4. support.recordedfuture.com
  5. attack.mitre.org
  6. sygnia.co