ClickFix è una tecnica di ingegneria sociale sempre più utilizzata dai cybercriminali per indurre le vittime a installare malware fingendo una semplice “verifica umana”. Dietro messaggi apparentemente legittimi si nascondono spesso infostealer o remote access trojan (RAT), che aprono la strada ad attacchi più gravi come furti di credenziali, accessi non autorizzati e, nei casi peggiori, a ransomware su larga scala.
I ricercatori del Counter Threat Unit (CTU) di Sophos hanno analizzato la distribuzione del ransomware Qilin collegata a una campagna ClickFix. La catena di infezione è iniziata quando una vittima ha visitato un sito legittimo ma compromesso, che ha caricato uno script malevolo in grado di mostrare una falsa pagina di verifica. Una volta completata, l’utente ha scaricato ed eseguito NetSupport Manager, un tool di accesso remoto legittimo ma spesso abusato come RAT.
ClickFix: l’inganno della verifica umana
La forza di ClickFix risiede nella sua semplicità. L’utente viene indotto a credere di dover completare un controllo di sicurezza – simile a un CAPTCHA o a una verifica anti-bot – e segue istruzioni che sembrano legittime. In realtà, quelle azioni avviano il download e l’esecuzione di software malevolo, spesso infostealer o remote access trojan (RAT).
In questo caso specifico, l’infezione è iniziata con la visita a un sito web legittimo ma compromesso (aquafestonline[.]com). Una volta caricata la pagina, uno script dannoso incorporato ha recuperato un file JavaScript esterno fortemente offuscato da un secondo dominio. Lo script era progettato per adattarsi alla vittima: rilevava sistema operativo, browser e generava un identificativo univoco per limitare l’attacco a una singola esecuzione ogni 24 ore, riducendo la probabilità di analisi e rilevamento.
Attraverso questo accesso, gli attaccanti hanno distribuito StealC V2, un infostealer avanzato progettato per sottrarre credenziali in modo furtivo. Circa un mese dopo, le credenziali rubate sono state utilizzate per accedere alla rete tramite VPN e avviare l’attacco ransomware Qilin, noto per il modello di doppia estorsione.
Qilin, gestito dal gruppo criminale GOLD FEATHER, è stata l’operazione ransomware-as-a-service più attiva tra gennaio 2024 e dicembre 2025, con oltre 1.100 vittime pubblicate sul sito di data leak. Il gruppo adotta il modello di doppia estorsione, combinando cifratura dei sistemi e minaccia di pubblicazione dei dati rubati.
I ricercatori di Sophos consigliano di adottare una buona igiene informatica: applicare patch tempestive, limitare l’esposizione dei servizi sensibili come RDP, usare MFA resistente al phishing e implementare soluzioni EDR per rilevare e bloccare attività sospette.
https://www.sophos.com/it-it/blog/i-am-not-a-robot-clickfix-used-to-deploy-stealc-and-qilin
