Check Point Research ha identificato una nuova minaccia informatica chiamata FileFix, una tecnica di social engineering che rappresenta un’evoluzione del già noto attacco ClickFix. A differenza del suo predecessore, che sfruttava la finestra “Esegui” di Windows, FileFix agisce all’interno dell’interfaccia più familiare e apparentemente sicura di Esplora file di Windows, inducendo l’utente a eseguire comandi malevoli senza rendersene conto.
Come funziona FileFix
La tecnica FileFix si basa sull’inganno e sull’imitazione di routine quotidiane dell’utente. Una pagina web malevola apre una finestra legittima di Esplora file, mentre uno script JavaScript copia un comando PowerShell camuffato negli appunti. L’utente viene invitato a incollare un “percorso file” nella barra degli indirizzi. In realtà, incolla un comando eseguibile, che Windows esegue senza richiedere ulteriori autorizzazioni, scaricando e lanciando il malware.
Non si tratta di una vulnerabilità del sistema operativo, ma di una manipolazione comportamentale. L’utente compie un’azione apparentemente legittima, diventando l’inconsapevole vettore dell’attacco.
Dalla teoria all’uso reale
Il ricercatore mr.d0x ha descritto pubblicamente FileFix il 23 giugno 2025. Appena due settimane dopo, Check Point ha rilevato campagne di phishing attive che integravano questa tecnica. I payload erano inizialmente benigni, ma tutto indica che il passaggio a malware reali sia imminente.
Un noto gruppo già coinvolto in attacchi con ClickFix ha avviato i test su FileFix. Parallelamente, KongTuke, altro attore di minacce, ha incorporato la tecnica in una sua campagna. Questo dimostra quanto rapidamente FileFix si stia diffondendo nella comunità cybercriminale.
L’evoluzione di ClickFix: inganno a basso costo, alto impatto
FileFix rappresenta un’evoluzione furtiva degli attacchi ClickFix, che nel 2025 hanno registrato un incremento significativo. Il meccanismo di fondo resta lo stesso: l’attaccante crea un falso problema tecnico (es. CAPTCHA non funzionante, errore di sistema) e spinge l’utente a copiare e incollare comandi per “risolverlo”. Con FileFix, il passaggio si sposta in Esplora file, aumentando il livello di persuasione e riducendo i sospetti.
Raccomandazioni per la difesa
Per contrastare FileFix e altre tecniche simili, Check Point raccomanda di:
- Diffidare di siti web che chiedono di eseguire azioni manuali non comuni, come incollare comandi nei percorsi di file.
- Formare gli utenti aziendali a riconoscere tentativi di manipolazione, specialmente quando coinvolgono strumenti familiari come Esplora file.
- Monitorare le esecuzioni di PowerShell attivate da input utente e i contenuti degli appunti per identificare anomalie.
- Aggiornare i playbook di incident response includendo tecniche di social engineering come FileFix e ClickFix.
- Verificare richieste sospette con il supporto IT prima di eseguire qualsiasi comando suggerito da una pagina web.
La protezione con Harmony Endpoint
Strumenti come Check Point Harmony Endpoint sono progettati per identificare comportamenti sospetti, incluso l’uso anomalo degli appunti e l’esecuzione silenziosa di script PowerShell. Attraverso analisi comportamentale e blocco proattivo, Harmony Endpoint consente di fermare attacchi basati sulla fiducia dell’utente prima che causino danni.
Conclusioni
FileFix dimostra che il fattore umano resta l’anello debole della catena di sicurezza. Non servono exploit sofisticati quando basta convincere l’utente a eseguire un comando. In un contesto di minacce in rapida evoluzione, formazione, monitoraggio attivo e protezione degli endpoint diventano indispensabili per difendere i sistemi da attacchi sempre più subdoli e mirati.
