I criminali informatici stanno sfruttando una nuova tecnica di social engineering chiamata ClickFix per diffondere un potente backdoor denominato CORNFLAKE.V3. Questa minaccia informatica si sta diffondendo tramite pagine CAPTCHA false, progettate per ingannare gli utenti e indurli a eseguire script malevoli sui propri sistemi, spesso tramite la finestra di dialogo Esegui di Windows. L’obiettivo di questi attacchi è ottenere accesso iniziale ai dispositivi delle vittime, accesso poi monetizzato e sfruttato da diversi gruppi di cybercriminali.

Meccanismo di infezione

Il meccanismo di infezione parte da risultati di ricerca manipolati tramite tecniche di SEO poisoning o da annunci malevoli, che reindirizzano l’utente verso una pagina CAPTCHA contraffatta. Qui, la vittima viene istruita a copiare e incollare un comando PowerShell dannoso, innescando così il download di altri script da server remoti. Questi script verificano la presenza di ambienti virtualizzati per evadere le analisi e procedono a installare CORNFLAKE.V3.

Funzionalità di CORNFLAKE.V3

Il backdoor CORNFLAKE.V3, osservato in varianti sia JavaScript che PHP, consente l’esecuzione di diversi payload tramite HTTP, inclusi file eseguibili, librerie DLL, script batch e comandi PowerShell. Oltre a raccogliere informazioni di base sul sistema, invia i dati a server esterni sfruttando tunnel Cloudflare per eludere i controlli di sicurezza. Rispetto alla versione precedente, CORNFLAKE.V3 introduce la persistenza tramite chiavi di registro di Windows e supporta più tipi di payload, rendendolo una minaccia più versatile e durevole.

Payload e strumenti distribuiti

Tra i payload distribuiti sono stati identificati strumenti per la ricognizione di Active Directory, script per il furto di credenziali tramite tecniche come il Kerberoasting e una variante backdoor chiamata WINDYTWIST.SEA, capace di offrire funzionalità come relay di traffico TCP, shell di comando remota ed esecuzione di ulteriori attività malevole.

Difesa e diffusione della tecnica

Per difendersi, è fondamentale disabilitare la finestra Esegui quando possibile, adottare policy restrittive su PowerShell e sensibilizzare gli utenti sui rischi legati al social engineering. Microsoft segnala che le campagne ClickFix vengono abbinate a vettori come phishing, malvertising e compromissioni drive-by, rendendo la tecnica molto diffusa tra i criminali digitali. Inoltre, strumenti ClickFix vengono venduti nei forum cybercriminali, facilitando la creazione di campagne personalizzate con landing page e comandi dannosi preconfigurati.

Parallelamente, prosegue la diffusione di malware tramite chiavette USB infette, che rilasciano miner di criptovaluta come XMRig, mostrando come i vettori di infezione fisica restino ancora efficaci. L’uso combinato di ClickFix e backdoor avanzate come CORNFLAKE.V3 richiede strategie di difesa multilivello e una continua formazione degli utenti.