Un sofisticato schema di distribuzione di malware sta colpendo gli utenti del web attraverso una tecnica tanto subdola quanto efficace. Secondo l'analisi dei ricercatori di Malwarebytes, i criminali informatici hanno affinato ulteriormente la già nota metodologia ClickFix, creando una nuova variante che sfrutta verifiche di sicurezza falsificate per compromettere i computer delle vittime. Al centro dell'operazione malevola c'è Vidar, un infostealer di provata pericolosità che riesce a carpire dati riservati dai sistemi Windows infettati.
Il meccanismo d'attacco è concepito in modo da apparire il più possibile legittimo. Le vittime vengono convinte a visitare siti che sembrano affidabili, spesso attraverso annunci pubblicitari ingannevoli sui motori di ricerca. Una volta giunti sulla pagina, viene richiesto loro di completare una verifica di umanità: il classico CAPTCHA di Cloudflare che tutti conosciamo, con la scritta "Verifica che sei un utente umano". Qui inizia il trucco. Anziché selezionare semafori o attraversamenti pedonali come richiesto normalmente, il falso sistema ordina all'utente di eseguire una sequenza di comandi: aprire la finestra Esegui di Windows, premere Ctrl+V e poi Invio. Innocui istruzioni che in realtà attivano uno script dannoso nascosto.
Quello che accade in background è tutt'altro che innocente. Lo script HTA (HTML Application) scarica automaticamente un installer MSI che carica un loader malevolo. Quest'ultimo decifra ed esegue Vidar direttamente sulla macchina compromessa. Il codice infettivo viene iniettato all'interno di siti WordPress che sono stati precedentemente violati dai cybercriminali, trasformandoli in vettori inconsapevoli della campagna malware. Una volta insediato nel sistema, Vidar inizia il suo lavoro sporco: raccoglie password, informazioni dai portafogli di criptovalute, cookie di sessione, token di autenticazione, dati di compilazione automatica dei moduli, coordinate bancarie salvate nel browser, nonché file e documenti personali. Tutti questi dati sensibili vengono poi inviati ai server controllati dai malintenzionati.
La sofisticazione di questo attacco risiede nella sua semplicità apparente. A differenza degli exploit che sfruttano vulnerabilità tecniche complesse e richiedono elevate competenze di programmazione, questa tecnica affida tutto all'inganno psicologico. Gli utenti, vedendo una verifica di sicurezza familiare e ricevendo istruzioni che sembrano ufficiali, abbassano naturalmente la propria guardia. Il fatto che gli script malvagi siano ospitati su siti legittimi compromessi aumenta ulteriormente il senso di falsa sicurezza.
Gli esperti di sicurezza informatica consigliano massima prudenza quando ci si imbatte in richieste di esecuzione di comandi tramite Esegui, terminale o PowerShell durante la navigazione web. Nessun sito legittimo chiederebbe mai di eseguire codice in questo modo. La soluzione più efficace rimane l'installazione di software di protezione affidabile in grado di riconoscere e bloccare questo genere di minacce prima che possano arrecare danni. Nel frattempo, gli utenti farebbero bene a ricordare la regola d'oro: quando qualcosa sembra strano, probabilmente lo è.
