Notizie

ClickFix ha aggiunto i comandi nslookup al proprio arsenale per scaricare i RAT.

di Pieter Arntz | 16 febbraio 2026
ClickFix imita Windows

Le campagne malware ClickFix mirano a indurre la vittima a infettare il proprio computer.

A quanto pare, i criminali dietro queste campagne hanno capito che i comandi mshta e Powershell vengono sempre più spesso bloccati dai software di sicurezza, quindi hanno sviluppato un nuovo metodo utilizzando nslookup.

Le fasi iniziali sono praticamente le stesse che abbiamo visto in precedenza: false istruzioni CAPTCHA per dimostrare che non sei un bot, risoluzione di problemi informatici inesistenti o aggiornamenti, causare crash del browser e persino video tutorial.

L'idea è quella di indurre le vittime a eseguire comandi dannosi per infettare il proprio computer. Il comando dannoso viene spesso copiato negli appunti della vittima con le istruzioni di copiarlo nella finestra di dialogo Windows o nel Mac .

Nslookup è uno strumento integrato che consente di utilizzare la "rubrica telefonica" di Internet, e i criminali stanno fondamentalmente abusando di tale rubrica per introdurre di nascosto istruzioni e malware invece di limitarsi a ottenere un indirizzo.

Esiste per risolvere i problemi di rete, verificare che il DNS sia configurato correttamente e indagare su domini sospetti, non per download eseguire programmi. Ma i criminali hanno configurato un server in modo che rispondesse con dati appositamente creati, in modo che parte della "risposta" fosse in realtà un altro comando o un puntatore al malware, non solo un normale indirizzo IP.

Microsoft ha fornito questi esempi di comandi dannosi:

Esempi di comando nslookup

Questi comandi avviano una catena di infezione che scarica un archivio ZIP da un server esterno. Da tale archivio, estrae uno script Python dannoso che esegue routine di ricognizione, comandi di rilevamento e infine rilascia uno Basic Visual Basic che rilascia ed esegue ModeloRAT.

ModeloRAT è un trojan di accesso remoto (RAT) basato su Python che consente agli aggressori di assumere il controllo diretto di un Windows infetto.

Per farla breve, i criminali informatici hanno trovato un altro modo per utilizzare uno strumento tecnico affidabile e farlo diventare il veicolo segreto della fase successiva dell'attacco, il tutto innescato dalla vittima che segue quelle che sembrano innocue istruzioni di supporto da copiare e incollare. A quel punto, potrebbero cedere il controllo del proprio sistema.

Come stare al sicuro

Con ClickFix che imperversa - e non sembra che scomparirà presto - è importante essere consapevoli, prudenti e protetti.

  • Rallenta. Nonaffrettarti a seguire le istruzioni riportate su una pagina web o in un messaggio, soprattutto se ti chiedono di eseguire comandi sul tuo dispositivo o di copiare e incollare codice. Gli hacker sfruttano l'urgenza per aggirare il tuo pensiero critico, quindi fai attenzione alle pagine che sollecitano un'azione immediata. Le pagine ClickFix più sofisticate aggiungono countdown, contatori di utenti o altre tattiche di pressione per indurti ad agire rapidamente.
  • Evita di eseguire comandi o script provenienti da fonti non attendibili. Noneseguire maicodice o comandi copiati da siti web, e-mail o messaggi a meno che tu non abbia fiducia nella fonte e comprenda lo scopo dell'azione. Verifica le istruzioni in modo indipendente. Se un sito web ti chiede di eseguire un comando o un'azione tecnica, controlla la documentazione ufficiale o contatta l'assistenza prima di procedere.
  • Limita l'uso del copia-incolla per i comandi.Digitare manualmentei comandi invece di copiarli e incollarli può ridurre il rischio di eseguire inconsapevolmente payload dannosi nascosti nel testo copiato.
  • Proteggi i tuoi dispositivi. Utilizzaunasoluzione anti-malwareaggiornata e in tempo reale con un componente di protezione web.
  • Informati sulle tecniche di attacco in continua evoluzione.Comprendere che gli attacchi possono provenire da vettori inaspettati ed evolversi aiuta a mantenere alta la vigilanza. Continua a leggere il nostro blog!

Suggerimento da esperto:sapevi che il programma gratuito Malwarebytes Browser Guard ti avvisa quando un sito web cerca di copiare qualcosa negli appunti?

Non ci limitiamo a segnalare le minacce: contribuiamo a proteggere la tua identità digitale nella sua interezza.

I rischi legati alla sicurezza informatica non dovrebbero mai andare oltre i titoli dei giornali. Proteggi le tue informazioni personali e quelle della tua famiglia utilizzando la protezione dell'identità.

Informazioni sull'autore

Pieter Arntz

Pieter Arntz

Ricercatore nel campo della sicurezza informatica

È stato un MVP Microsoft per la sicurezza dei consumatori per 12 anni consecutivi. Sa parlare quattro lingue. Profuma di mogano e di libri rilegati in pelle.

ULTIMI ARTICOLI

AI
Una mano si abbassa per afferrare un asterisco da una password scritta.

Le password generate dall'intelligenza artificiale rappresentano un rischio per la sicurezza

Febbraio 19, 2026

Le password generate dall'intelligenza artificiale sono "altamente prevedibili" e non sono realmente casuali, rendendole più facili da decifrare per i criminali informatici.

Notizie
Logo Tenga

Il produttore di articoli per l'intimità Tenga ha divulgato i dati dei propri clienti

Febbraio 19, 2026

Un attacco di phishing ai danni di un dipendente di Tenga potrebbe aver compromesso i dati dei clienti statunitensi. I clienti devono prestare attenzione ai tentativi di phishing a sfondo sessuale.

Violazioni dei dati
Logo Betterment

La violazione dei dati di Betterment potrebbe essere più grave di quanto pensassimo

Febbraio 18, 2026

Questa violazione appare ora molto più grave. I dati trapelati includono dettagli personali e finanziari che potrebbero essere utilizzati dai phisher.

Icona dei collaboratori

Contribuenti

Icona del Centro per le minacce

Centro delle minacce

Icona Podcast

Podcast

Icona del glossario

Glossario

Icona delle truffe

Truffe