Roma, 16 settembre 2025 – Una nuova ondata di attacchi informatici sta mettendo in allarme gli esperti di sicurezza digitale, con una tecnica denominata FileFix che sfrutta falsi allarmi di sicurezza provenienti da Facebook per indurre le vittime a eseguire infostealer e malware. Questa minaccia, evoluzione della già conosciuta metodologia ClickFix, ha rapidamente superato la fase di prova concettuale, trasformandosi in meno di due mesi in una campagna cybercriminale globale.
Come funziona la truffa mascherata da avviso di Facebook
L’attacco FileFix si presenta inizialmente come un avviso urgente: l’account Facebook della vittima sarebbe stato segnalato per violazioni e verrà sospeso entro sette giorni. Per evitare la sospensione, la vittima viene invitata a scaricare un presunto modulo PDF per fare ricorso. La trappola si cela però nel metodo suggerito per aprire il file: viene chiesto di copiare un URL malevolo e incollarlo nella barra degli indirizzi di Windows File Explorer. In realtà, l’Explorer non apre alcun documento, ma esegue comandi nascosti che installano malware sul dispositivo.
Questa tecnica si avvale di un’evoluzione sofisticata rispetto a ClickFix, che invece proponeva un falso test CAPTCHA per ingannare gli utenti. FileFix, invece, induce gli utenti a eseguire direttamente comandi potenzialmente dannosi, sfruttando la fiducia nelle comunicazioni provenienti da Facebook. Per rendere più credibile l’inganno, i criminali inseriscono immagini apparentemente innocue — come fotografie di case bucoliche o porte intricate — che in realtà contengono script PowerShell e payload cifrati. Questi file immagine, scaricati nelle cartelle temporanee del sistema, rendono più difficile il rilevamento da parte dei software antivirus.
Secondo Eliad Kimhy, ricercatore senior presso Acronis Threat Research Unit, “questa tecnica rappresenta un segno distintivo di un attaccante molto sofisticato, che sa come eludere i controlli e mantenere l’attacco attivo e in evoluzione“. Inoltre, la diffusione globale è evidente: i tentativi di infezione provengono da diversi paesi, con siti phishing tradotti in varie lingue per massimizzare la portata.
FileFix e la diffusione del ransomware Interlock
Recenti analisi hanno evidenziato un collegamento tra la campagna FileFix e la distribuzione della nuova variante PHP del ransomware Interlock, noto per attacchi di doppia estorsione su vasta scala. Gli aggressori sfruttano proprio FileFix come veicolo per diffondere un Remote Access Trojan (RAT) personalizzato chiamato NodeSnake. Questo malware, oltre a raccogliere dati sensibili e credenziali, si integra con payload aggiuntivi per compromettere ulteriormente i sistemi, modificando chiavi di registro e sfruttando protocolli come RDP per movimenti laterali nella rete aziendale.
La campagna è stata osservata in settori critici quali sanità, tecnologia e manifatturiero, e si distingue per l’uso di tecniche di evasione avanzate, come l’impiego di sottodomini Cloudflare Tunnel per nascondere l’infrastruttura di comando e controllo. Questo rende la rilevazione e la risposta alle minacce più complesse, richiedendo strumenti di threat hunting e detection engineering basati su intelligenza artificiale come quelli offerti da SOC Prime, piattaforma che fornisce regole specifiche per individuare attività sospette legate a Interlock e altre minacce ransomware.
ClickFix e FileFix: la nuova frontiera del phishing attivo
Il fenomeno ClickFix, da cui FileFix deriva direttamente, ha rivoluzionato il panorama degli attacchi di phishing introducendo una modalità in cui l’utente stesso, convinto di risolvere un problema, esegue manualmente comandi malevoli. La particolarità di questi attacchi è che non si basano sul download diretto di file eseguibili, ma sull’interazione con la barra degli indirizzi o l’esecuzione di comandi PowerShell, spesso nascosti dietro azioni apparentemente innocue come incollare un testo o aprire un’immagine.
Nel corso del 2025 sono state rilevate diverse campagne che abusano di domini contraffatti, anche con estensione .it, che utilizzano falsi CAPTCHA per convincere le vittime a compiere le azioni richieste. Il malware più diffuso in queste campagne è lo stealer — come StealC e Lumma Stealer — progettato per sottrarre password, dati bancari e chiavi di accesso a portafogli di criptovalute, applicazioni di messaggistica e VPN.
Gli esperti sottolineano che la difesa più efficace contro queste truffe è l’educazione degli utenti. La consapevolezza dei rischi legati a richieste di azioni insolite, come incollare comandi in PowerShell o aprire file da fonti non verificate, è fondamentale per evitare di cadere vittima di questi attacchi.
La rapidità con cui FileFix è passato da una prova di concetto a una minaccia globale dimostra quanto sia urgente aggiornare le strategie di formazione e le tecnologie di rilevamento per stare al passo con l’evoluzione delle tecniche di cybercriminalità.
