Bug, Notizie

Oltre 700 siti web dedicati all'istruzione e alla tecnologia sono stati compromessi nel corso di una vasta campagna di malware denominata ClickFix

di Pieter Arntz | 26 maggio 2026
ClickFix imita Windows

Gli hacker stanno sfruttando una grave vulnerabilità del sistema di gestione dei contenuti (CMS) Ghost per prendere il controllo di oltre 700 siti web legittimi e inserire una falsa procedura di verifica di Cloudflare che induce i visitatori a eseguire un Windows che installa malware.

Queste campagne di ingegneria sociale — in cui i visitatori dei siti web vengono indotti con l'inganno a eseguire comandi dannosi sui propri sistemi — sono comunemente note come attacchi "ClickFix". In questo caso, i criminali informatici hanno trasformato i siti web di organizzazioni affidabili, tra cui università e aziende tecnologiche, in piattaforme di diffusione per la campagna malware.

Oltre 700 siti web basati su Ghost sono stati compromessi a causa di una vulnerabilità nota di tipo SQL injection, identificata con il codice CVE-2026-26980. Gli hacker hanno sfruttato questa vulnerabilità per sottrarre chiavi API amministrative e inserire di nascosto codice JavaScript dannoso nei post e nelle pagine dei siti colpiti.

I ricercatori hanno scoperto che lo script iniettato carica un flusso ClickFix di secondo livello, che mostra ai visitatori una finestra di dialogo fasulla di verifica Cloudflare o CAPTCHA.

Esempio di verifica Cloudflare contraffatta
Esempio di verifica Cloudflare contraffatta

Anziché utilizzare una normale casella di selezione, la pagina invita gli utenti a copiare e incollare un comando nella finestra di dialogo Windows o in PowerShell, indurli così, di fatto, a installare malware sui propri sistemi.

Informazioni per gli amministratori del sito web

Al centro di questa campagna c'è una grave vulnerabilità di tipo SQL injection nell'API Content di Ghost. I ricercatori hanno osservato:

«Senza alcuna autenticazione, un malintenzionato può leggere direttamente il contenuto del database sfruttando questa vulnerabilità, compresa la chiave API di amministrazione utilizzata per richiamare l'API di amministrazione di Ghost.»

La vulnerabilità riguarda le versioni di Ghost dalla 3.24.0 alla 6.19.0 e può essere sfruttata senza effettuare l'accesso.

È ora disponibile una versione corretta, che dovrebbe essere installata il prima possibile. Non solo a causa della campagna ClickFix: una volta che gli hacker riescono a sottrarre una chiave API di amministratore, possono modificare, eliminare o creare post, inserire script, dirottare i temi e manomettere in altri modi i contenuti visibili agli utenti.

Come stare al sicuro

Questa campagna rischia di rivelarsi particolarmente efficace poiché le istruzioni sono presentate come innocue operazioni tecniche, quali «verifica di essere un utente umano», «risolvi i problemi di connessione» o «vai al sito». A peggiorare le cose, i contenuti compaiono su siti web di cui gli utenti si fidano già.

Con ClickFix che imperversa - e non sembra che scomparirà presto - è importante essere consapevoli, prudenti e protetti.

  • Prenditi un attimo di tempo. Nonseguire le istruzioni riportate su una pagina web senza prima rifletterci bene, soprattutto se la pagina ti chiede di eseguire comandi sul tuo dispositivo o di copiare e incollare del codice. Gli hacker fanno leva sul senso di urgenza per aggirare il tuo pensiero critico, e molte pagine di ClickFix utilizzano countdown, contatori di utenti falsi o altre tattiche intimidatorie per spingerti ad agire in fretta.
  • Evita di eseguire comandi o script provenienti da fonti non attendibili. Noneseguire maicodice o comandi copiati da siti web, e-mail o messaggi, a meno che tu non ti fidi della fonte e non comprenda lo scopo dell'operazione. Se un sito web ti chiede di eseguire un comando o di compiere un'operazione tecnica, consulta la documentazione ufficiale o contatta l'assistenza prima di procedere.
  • Presta attenzione quando copi e incolli i comandi. Gli hacker spesso nascondono payload dannosi all'interno del testo negli appunti. Digitare i comandi manualmente invece di copiarli e incollarli può ridurre il rischio di eseguire inconsapevolmente payload dannosi nascosti.
  • Proteggi i tuoi dispositivi. Utilizzaunasoluzione anti-malwareaggiornata e in tempo reale con un componente di protezione web.
  • Rimani aggiornato sull'evoluzione delle tecniche di attacco.I criminali informatici adattano costantemente i loro metodi e la consapevolezza rimane una delle tue migliori difese, quindi continua a seguire il nostro blog!

Consiglio da esperto:lo sapevi che il programma gratuito Malwarebytes Browser Guard ti avvisa quando un sito web cerca di copiare qualcosa negli appunti?

Blocca le minacce prima che possano causare danni.

Malwarebytes Browser Guard automaticamente le pagine di phishing e i siti dannosi. È gratuito e si installa con un solo clic. Aggiungilo al tuo browser →

Informazioni sull'autore

Pieter Arntz

Pieter Arntz

Ricercatore nel campo della sicurezza informatica

È stato un MVP Microsoft per la sicurezza dei consumatori per 12 anni consecutivi. Sa parlare quattro lingue. Profuma di mogano e di libri rilegati in pelle.

ULTIMI ARTICOLI

Notizie
Settimana della sicurezza

Una settimana nel mondo della sicurezza ( 18 maggio al 24 maggio)

Maggio 25, 2026

Elenco degli argomenti trattati nella settimana dal 18 al 24 maggio 2026

Insetti
Logo Chrome

Aggiorna Chrome : alcuni bug critici potrebbero consentire agli hacker di eseguire codice

Maggio 22, 2026

Questo Chrome risolve alcune falle critiche che gli hacker potrebbero sfruttare tramite siti web dannosi, ma non la vulnerabilità denominata "Browser Fetch".

Insetti
Logo Defender

Le vulnerabilità di Microsoft Defender vengono attualmente sfruttate in rete

Maggio 21, 2026

La CISA ha aggiunto al proprio catalogo KEV sette vulnerabilità note già oggetto di attacchi, tra cui due falle di Microsoft Defender.

Articoli correlati

Icona dei collaboratori

Contribuenti

Icona del Centro per le minacce

Centro delle minacce

Icona Podcast

Podcast

Icona del glossario

Glossario

Icona delle truffe

Truffe