Le campagne basate sulla tecnica ClickFix sono ormai una tendenza consolidata: da circa un anno questo metodo viene sfruttato sempre più spesso per distribuire malware attraverso inganni che spingono l’utente a eseguire manualmente comandi dannosi.

In Italia la prima evidenza documentata risale al gennaio di quest’anno, quando la tecnica è stata utilizzata per diffondere Lumma Stealer, uno dei principali infostealer in circolazione. Da allora, pur essendo stati osservati diversi tentativi, nel nostro Paese non si sono registrate campagne massive mirate, a differenza di quanto accade in altri contesti internazionali dove il fenomeno è molto più diffuso.

La tecnica ClickFix, osservata per la prima volta in Italia a settembre del 2024 per la distribuzione di Lumma Stealer, è sempre più utilizzata anche in altre campagne malevole, come quella Safeguard Telegram. Questa tecnica risulta particolarmente efficace poiché sfrutta l’interazione dell’utente, inducendolo con un falso CAPTCHA a eseguire azioni apparentemente legittime, come combinazioni di tasti, che in realtà attivano codice malevolo in modo silente, rendendo più difficile l’identificazione da parte dei sistemi di sicurezza automatizzati.

Una delle tattiche più recenti adottate da Lumma Stealer per ingannare le vittime è l’impiego di CAPTCHA falsi, progettati per indurre gli utenti a eseguire script dannosi.

Questo metodo si sta dimostrando estremamente efficace per gli attaccanti poiché sfrutta la fiducia che gli utenti ripongono nelle sfide CAPTCHA, generalmente percepite come controlli di sicurezza legittimi per verificare l’identità umana.